Почему и как отключить XML-RPC в WordPress?

WordPress поставляется с множеством функций для настройки и создания красивого веб-сайта. Однако пользователю не обязательно использовать все доступные функции. Например, комментирование блога — это простая функция, которую можно отключить на всем сайте, если вы не хотите использовать комментарии на своем сайте. XML-RPC — это одна из таких старых функций WordPress, которую многие пользователи не используют на своих сайтах. Проблема здесь в том, что пользователи не знают о существовании такой функции, если только она не вызывает проблемы. В этой статье мы объясним, что такое XML-RPC в WordPress и почему его следует сразу же отключить.

Что такое XML-RPC?

XML означает расширяемый язык разметки, а RPC означает удаленный вызов процедур. Сочетая XML и RPC вместе, легко понять, что XML-RPC — это удаленный протокол для подключения к WordPress с использованием XML. Сначала причина наличия XML-RPC в WordPress заключается в том, чтобы разрешить или включить передачу данных с другими системами. Эти данные используют XML в качестве механизма кодирования и HTTP в качестве средства передачи между WordPress и любым совместимым приложением.

WordPress имеет собственный API XML-RPC по разным причинам, как объясняется в этой документации. Ранее пользователям необходимо было включить XML-RPC, чтобы использовать сторонние мобильные приложения и интеграции с WordPress. Однако версии WordPress 3.5 и выше по умолчанию поставляются с предустановленным на вашем сайте файлом XML-RPC.

Где вы можете найти файл XML-RPC в WordPress?

Вы можете найти файл xmlrpc.php в корневой папке установки вашего сайта, используя FTP или приложение File Manager. Когда вы посмотрите на содержимое файла, у него есть API для подключения к WordPress.com, Blogger, MetaWeblog и Movable Type.

PHP-файл XML-RPC в WordPressPHP-файл XML-RPC в WordPress

Вы можете найти этот файл xmlrpc.php в исходном коде вашего сайта как URL-адрес RSD (служба Really Simple Discovery), как показано ниже:

При нажатии на URL-адрес отобразится его содержимое, как показано ниже.

Ссылка XML-RPC RSD в заголовке WordPressСсылка XML-RPC RSD в заголовке WordPress

Кроме того, в шапке будет дополнительная ссылка для пингбэка, как показано ниже.

Когда вы нажмете на эту ссылку xmlrpc.php, появится сообщение с упоминанием «Сервер XML-RPC принимает только запросы POST».

XML-RPC принимает только запросы POSTXML-RPC принимает только запросы POST

Что вы можете сделать с XML-RPC?

Как видите, протокол полезен, когда вы хотите подключить любые сторонние сервисы к WordPress.

Некоторые старые плагины также могут использовать XML-RPC для целей интеграции.

Проблемы с XML-RPC в WordPress

Хотя XML-RPC был полезен для определенных нужд, он может создать множество проблем для тех, кто не использует его на своем сайте. На сайтах WordPress xmlrpc.php будет наиболее популярным URL-адресом при просмотре файла журнала сервера. Это связано с тем, что многие хакеры попытаются разместить контент на вашем сайте, используя этот удаленный протокол. Вот некоторые из проблем, которые файл xmlrpc.php может вызвать на вашем сайте:

  • Существует множество проблем безопасности, с которыми сталкиваются многие веб-сайты, и двумя наиболее распространенными являются атаки типа «отказ в обслуживании» (DOS) и атаки методом грубой силы. Эти вторжения запутываются в XML-RPC, и необходимость его отключения в WordPress пригодится в качестве дискурса.
  • В заголовке есть ненужная ссылка, и боты будут постоянно пытаться получить доступ к xmlrpc.php. Это может привести к тому, что ваш веб-сайт, вероятно, станет настолько медленным из-за ресурсов (очень много), которые файл использует с сервера.
  • Кроме того, некоторые плагины несовместимы с XML-RPC, и при их активации возникают технические проблемы.

Наконец, с появлением REST API отпала необходимость в XML-RPC. Вы можете использовать REST API для подключения к сторонним приложениям, таким как мобильное приложение Jetpack для самостоятельного размещения WordPress и ко всем другим платформам для ведения блогов, перечисленным в файле xmlrpc.php.

Как отключить XML-RPC в WordPress?

Поскольку xmlrpc.php устарел, а REST API может работать лучше, рекомендуется отключить xmlrpc.php на вашем сайте. Вы можете отключить XML-RPC в WordPress, добавив код в файл .htaccess или используя плагин, который в конечном итоге добавит код за вас.

Отключить XML-RPC в WordPress с помощью плагина

Многие плагины для этой цели или даже плагины безопасности имеют функцию отключения XML-RPC. Но мы рекомендуем плагин «Отключить XML-RPC-API», так как он отлично справляется со своей задачей. Перейдите на панель администратора WordPress, наведите указатель мыши на «Плагины» и нажмите меню «Добавить новый». Используйте ключевое слово в поле поиска и найдите плагин. Затем установите и активируйте плагин на своем сайте.

Установка плагина XML-RPC-APIУстановка плагина XML-RPC-API

Найдите новое боковое меню «Безопасность XML-RPC» и нажмите на него. Прокрутите вниз, отключите кнопки «XML-RPC Api Master Switch» и «Enable xml-rpc for Jetpack». Затем укажите список IP-адресов в поле «Белый список IP-адресов», если вы хотите получить доступ к функции с любого определенного IP-адреса. В противном случае вы можете оставить это поле пустым, чтобы полностью отключить xmlrpc.php.

Настройка плагина XML-RPC-APIНастройка плагина XML-RPC-API

Отключить XML-RPC в WordPress через htaccess

Если вы не хотите устанавливать дополнительный плагин для отключения XML-RPC на своем сайте, проверьте, поддерживает ли ваш плагин безопасности эту функцию. Если нет, альтернативный вариант — вручную добавить несколько строк кода в файл .htaccess. Этот файл доступен в корневой папке установки любой установки WordPress.

  • Войдите в учетную запись хостинга своего веб-сайта и перейдите на панель управления cPanel или настраиваемой панели.
  • Найдите и откройте приложение «Диспетчер файлов» и перейдите в папку «public_html». Это корневой каталог вашего сайта, который содержит основные файлы WordPress и серверные файлы для правильной работы WordPress.
  • Выберите файл .htaccess и нажмите «Изменить». Скопируйте следующий код и вставьте в конец файла.

# Блокировать запросы WordPress xmlrpc.php <Файлы xmlrpc.php> заказать отказ, разрешить отказ от всех файлов

При редактировании файл должен выглядеть примерно так, как показано ниже.

Редактировать файл htaccessРедактировать файл htaccess

После вставки кода нажмите кнопку «Сохранить», чтобы изменения вступили в силу.

Отключение только пингбеков и трекбеков

Между тем, чтобы отключить только функцию проверки связи и оставить доступными другие функции XML-RPC, вместо этого установите и активируйте плагин «Удалить и отключить проверку связи XML-RPC». Кроме того, вы можете перейти в раздел «Настройки > Обсуждение» и отключить опцию «Разрешить уведомления о ссылках из других блогов (обратные ссылки и обратные ссылки) для новых сообщений». Это отключит обратные ссылки только для новых сообщений, которые вы опубликуете в будущем.

Отключить Pingbacks и TracebacksОтключить Pingbacks и Tracebacks

Использование плагина Perfmatter Premium

После отключения XML-RPC API на вашем сайте вы увидите 403 Forbidden при попытке открыть файл xmlrpc.php.

Доступ запрещен для XML-RPCДоступ запрещен для XML-RPC

Однако ссылки в шапке по-прежнему будут доступны без использования. Если это вас беспокоит, то вы можете использовать плагины для удаления раздувания, чтобы удалить ненужные ссылки в заголовке, вставленные WordPress. Мы рекомендуем использовать премиальный плагин Perfmatters, так как он может помочь оптимизировать многие другие параметры, такие как управление скриптами и удаление неиспользуемого CSS.

  • Купите плагин, используя этот код скидки 10%, и активируйте его на своем сайте, используя лицензионный код.
  • Перейдите в меню «Настройки» > «Параметры», а затем перейдите в раздел «Параметры > Общие».
  • Включите параметр «Отключить XML-RPC».
  • Прокрутите вниз и нажмите кнопку «Сохранить изменения».

Отключить XML-RPC с помощью PerfmattersОтключить XML-RPC с помощью Perfmatters

Теперь откройте любую страницу вашего сайта и проверьте исходный код. Вы не найдете ссылки на xmlrpc.php в разделе заголовка.

Подведение итогов по отключению XML-RPC в WordPress

Помните, что вы всегда можете отменить предпринятый шаг, если по-прежнему чувствуете необходимость снова использовать XML-RPC. Это может быть необходимо, когда вы используете мобильное приложение Jetpack для публикации контента. Однако мы настоятельно рекомендуем использовать приложения REST API и отключать XML-RPC. Это поможет избежать угроз безопасности и защитить ваш сайт от хакеров.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.