W momencie gdy posiadasz już zainstalowany WordPress na swoim hostingu z łatwością możesz zauważyć plik xmlrpc.php, który znajduje się w katalogu głównym zainstalowanej witryny. Jego dość nietypowa nazwa nawiązuje do protokołu XML-RPC. Zobacz czym jest i do czego służy plik xmlrpc.php w WordPress i czy warto go blokować.

• Co to i do czego służy plik xmlrpc.php?
• Jak zablokować plik xmlrpc.php w WordPress?

Co to i do czego służy plik xmlrpc.php?

WordPress to system CMS pozwalający na zarządzanie stroną internetową poprzez Kokpit WordPress. Warto jednak wiedzieć, że może on z powodzeniem pracować wykorzystując aplikacje zewnętrzne. Plik xmlrpc.php umożliwia właśnie komunikację od i do aplikacji zewnętrznej z wykorzystaniem protokołu XML-RPC. Funkcja ta dostępna jest niemal w każdej wersji WordPress, także w tych starych gdyż dostępna jest niemal od początku istnienia systemu WordPress.

Plik xmlrpc.php umożliwiając komunikację zewnętrzną naraża jednak także daną witrynę WordPress na niebezpieczeństwo. Jedną z opcji, która wykorzystywana jest przez funkcję XML-RPC są pingbacki oraz trackbacki w WordPress.

W momencie gdy plik xmlrpc.php i funkcja XML-RPC są aktywne w naszej witrynie WordPress to niestety jest ona bardziej podatna na ataki hakera. Funkcja ta daje szeorkie możliwości igerencji w daną witrynę WordPress i najczęściej wykroystywana jest do przeprowadzania dwóch rodzajów nadużyć:

• wysyłka SPAMu
  • Co to i jak zablokować SPAM?
• ataki DDOS
  • Czy mogę chronić WordPress przed atakiem DDoS?

Jak zablokować plik xmlrpc.php w WordPress?

Jeśli Twoja witryna WordPress do swojego działania nie wykorzystuje aplikacji zewnętrznych to zdecydowanie warto zablokować plik xmlrpc.php. Nie polega to jednak na zwyczajnym usunięciu pliku z serwera FTP. Korzystając z odpowiedniego hostingu WordPress z powodzeniem możesz wykorzystać dwie różne metody blokady pliku xmlrpc.php.

Blokada pliku xmlrpc.php w pliku functions.php

Wykorzystując tę metodę niezbędne jest zalogowanie się do serwera i edycja pliku functions.php bezpośrednio na serwerze. W tym celu wykonaj następujące czynności.

1. Zaloguj się do panelu administracyjnego serwera hostingu WordPress
   • Jak zalogować się do cPanel?
2. Przejdź do: Menedżer plików
   
   
3. Wybierz folder, w którym zainstalowana jest witryna i następnie wybierz katalog: wp-content
4. Przejdź do katalogu: themes
5. Wybierz katalog z nazwą motywu, który wykorzystuje strona internetowa.
6. Prawym klawiszem myszy kliknij na plik functions.php i następnie: Edit
   
   
7. Potwierdź chęć edycji pliku klikając ponownie: Edit
   
8. Dodaj do zawartości pliku poniższy zapis i następnie kliknij: Zapisz zmiany
   

   add_filter('xmlrpc_enabled', '__return_false');

   

    

9. To wszystko. Plik xmlrpc.php w WordPress został zablokowany.

Blokada pliku xmlrpc.php w pliku .htaccess

Plik .htaccess może być bardzo przydatny także w wypadku gdy chcemy zablokować działanie funkcji XML-RPC.

1. Zaloguj się do panelu administracyjnego serwera hostingu WordPress
   • Jak zalogować się do cPanel?
2. Przejdź do: Menedżer plików
   
   
3. Wybierz folder, w którym zainstalowana jest witryna i i odszukaj plik .htaccess.
4. Kliknij na niego prawym klawiszem myszy i naciśnij: Edit
   
   
5. W okienku, które się pojawi potwierdź chęć edycji pliku klikając ponownie: Edit
6. Do zawartości pliku .htaccess dodaj poniższy zapis i następnie kliknij: Zapisz zmiany
   

   # Zablokuj plik xmlrcp.php
   <Files xmlrpc.php>
   order deny,allow
   deny from all
   </Files>

   

7. To wszystko. Dostęp do XML-RPC został zablokowany dla wszystkich.