10:01 AM
Cách tắt xml-rpc WordPress không cần plugin
Mới đây một khách hàng của tôi có gửi đề nghị tương trợ về việc dù anh đã đổi url đăng nhập vào website (wp-admin) rồi nhưng tại sao trong 1 plugin thống kê đăng nhập vẫn thấy khá nhiều đăng nhập thất bại và website liên tục bị sập thì tôi có check web và thấy rằng giao thức XML-RPC vẫn còn mở nên việc attacked vẫn có 1 đường để tiêu dùng hình thức tấn công Brute Force Attacks thông qua XML-RPC
XML-RPC là gì?
XML-RPC cho WordPress được thiết kế để kích hoạt các kết nối từ xa giữa trang web của bạn và các ứng dụng bên ngoài. Điều này có nghĩa là người dùng có thể tương tác với trang web WordPress của họ thông qua các nền tảng viết blog hoặc ứng dụng điện thoại khác nhau. XML-RPC hữu ích trong những ngày đầu của Internet, khi một người muốn chỉnh sửa nội dung ngoại tuyến, sau đó kết nối với blog WordPress của họ sau đó để xuất bản nội dung đó.
Tuy nhiên, với những tiến bộ trong công nghệ, Đa số người dùng không tiêu dùng XML-RPC nên XML-RPC tiềm ẩn nhiều rủi ro bảo mật mà bạn nên vô hiệu hóa chúng đi để website được bảo mật hơn.
XML-RPC được tiêu dùng như thế nào trong WordPress?
Theo mặc định, WordPress tự động kích hoạt XML-RPC ! Nó tạo một API cho XML-RPC để cho phép tương tác (nhận, đọc, chỉnh sửa, đăng, v.v.) các bài đăng, nhận xét, phân loại …
Bạn có thể tìm thấy ứng dụng của XML-RPC trong WordPress ở đâu?
- Pingback
- JSON API
- iPhone/Android app
- Remote posting by Microsoft Word for example.
- Your own apps, perhaps!
REST API đã được tích hợp vào lõi WordPress và xmlrpc.php không còn được tiêu dùng cho giao tiếp này nữa. API REST để giao tiếp với các ứng dụng dành cho thiết bị di động WordPress, ứng dụng khách trên máy tính để bàn, nền tảng blog bên ngoài, WordPress.com (dành cho plugin Jetpack), cũng như các hệ thống và dịch vụ khác. Sự lựa chọn hệ thống mà REST API có thể kết nối phong phú hơn nhiều so với xmlrpc.php
Bạn có thể thấy hiện tại REST API đã thay thế hoàn toàn cho XML-RPC nên bạn hãy tắt xmlrpc.php trên trang web của mình và dưới đây là cách để vô hiệu hóa XML-RPC trong WordPress
Vô hiệu hóa XML-RPC trong WordPress
Khách hàng của tôi có gửi đề nghị tương trợ về việc dù anh đã đổi url đăng nhập vào website (wp-admin) rồi nhưng tại sao trong 1 plugin thống kê đăng nhập vẫn thấy khá nhiều đăng nhập thất bại và website liên tục bị sập thì tôi có check web và thấy rằng giao thức XML-RPC vẫn còn mở nên việc attacked vẫn có 1 đường để tiêu dùng hình thức tấn công Brute Force Attacks thông qua XML-RPC, ngoài ra XML-RPC còn hay bị khai thác DDoS nữa.
Brute Force Attacks: Attacked có thể tiêu dùng xml-rpc để đánh giá hàng trăm kết hợp tên người dùng và mật khẩu cho đến khi có thể truy cập vào trang web của bạn. Điều này xảy ra vì xml-rpc không giới hạn số lần đăng nhập như khi bạn đăng nhập vào WordPress bình thường. Đây là 1 tính năng cũ và hiện tại nó là lỗ hỏng để hacker có thể khai thác hình thức tấn công Brute Force Attacks
DDoS: Attacked có thể tiêu dùng xml-rpc để pingback hàng nghìn IP. Điều này cho phép họ gửi một lượng lớn dữ liệu và lưu lượng truy cập có thể gây ra tình trạng quá tải cho máy chủ của bạn
Chặn xmlrpc bằng .htaccess
Nếu bạn tiêu dùng máy chủ là Apache hoặc Litespeed bạn có thể vô hiệu hóa XML-RPC bằng cách thêm đoạn code phía dưới vào file .htaccess là được.
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from all</Files>
Nếu bạn tiêu dùng Nginx thì có thể vô hiệu hóa bằng cách mở tệp cấu hình Nginx và chèn đoạn mã sau vào tệp:
server { location = /xmlrpc.php { deny all; }}Xóa xmlrpc.php bằng code functions.php
Ngoài cách vô hiệu hóa XML-RPC ở trên bạn cũng có thể tiêu dùng code sau để chèn vào file functions.php trong theme của bạn
/* Disable xmlrpc_methods*===============================================================*/add_filter( 'xmlrpc_enabled', '__return_false' );add_filter( 'pings_open', '__return_false' );
Hiện tại xmlrpc hầu như không còn hữu ích nữa nên mình khuyến khích mọi người hãy vô hiệu hóa xmlrpc để nâng cao bảo mật cho website WordPres
Xin cảm ơn.
0 nhận xét:
Post a Comment