blueserver
December 7th, 2016, 21:32
XML-RPC بصورت پیش فرض تا نسخه 3.8 وردپرس غیرفعال بود ، اما بعد از این ورژنه بخاطر استفاده از برنامه های موبایل وردپرس و سایر دسترسی های از راه دور نیاز بود تا این امکان فعال بشه و در حال حاضر نیز بصورت پیش فرض XML-RPC فعال است ، با اینکه در فایل XML-RPC حفره امنیتی نیست اما هدف بسیاری از خرابکاری های سایت های وردپرسی هست که میتوانند به وسیله این فایل سایت رو از دسترس خارج کنن.
http://blueserver.ir/wp-content/uploads/2016/11/XML-RPC-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-1.png
XML-RPC چیست و دلیل غیرفعال کردن آن
XML-RPC به مدیران سایت های وردپرسی اجازه میده که از طریق نرم افزار هایی مانند Windows Live Writer به صورت ریموت به سایتشان مطلب ارسال کنند. همچنین اپلیکیشن موبایل وردپرس هم برای برقراری ارتباط با سایت شما از همین روش استفاده میکنند.مشکل این فایل زمانی رخ میده که فایل xmlrpc.php در وردپرس با ارسال درخواست از طریق post مورد حمله ی دیداس (DDOS – Denial of Service Attak ) قرار میگیره.اگر در سایت های وردپرسی خود از این امکانات بالا استفاده نمیکنید ، براحتی میتونید این فایل رو غیرفعال کنید
غیر فعال کردن XML-RPC از طریق htaccess
در این روش ، به جای غیر فعال کردن کامل XML-RPC، از طریق فایل htaccess، به طور کامل از دسترسی به فایل xmlrpc.php جلوگیری میکنیم. وقتی کسی نتونه به فایل xmlrpc.php دسترسی پیدا کنه، از امکانات XML-RPC هم نمیتواند استفاده یا سوء استفاده کنه. مزیت این روش این است که در این حالت میتونید یک یا چند آی پی خاص را جهت دسترسی به این فایل مجاز کنید. برای انجام این روش کد زیر را باید در فایل htaccess سایتتون قرار بدید.
در اینجا آی پی allow from 123.123.123.123 ، تنها اجازه دسترسی به این فایل رو داره
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
لینک آموزش (http://blueserver.ir/%d8%ba%db%8c%d8%b1-%d9%81%d8%b9%d8%a7%d9%84-xml-rpc-%d9%88%d8%b1%d8%af%d9%be%d8%b1%d8%b3/)
ترجمه و نوشته شده توسط : بلوسرور (http://blueserver.ir)
خرید VPS ارزان (http://blueserver.ir/) - سرور مجازی ارزان (http://blueserver.ir/%d8%b3%d8%b1%d9%88%d8%b1-%d9%85%d8%ac%d8%a7%d8%b2%db%8c-%d8%a7%d8%b1%d8%b2%d8%a7%d9%86-%d9%88%db%8c%d9%86%d8%af%d9%88%d8%b2-%d9%84%db%8c%d9%86%d9%88%da%a9%d8%b3-%d8%ae%d8%b1%db%8c%d8%af/)
http://blueserver.ir/wp-content/uploads/2016/11/XML-RPC-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-1.png
XML-RPC چیست و دلیل غیرفعال کردن آن
XML-RPC به مدیران سایت های وردپرسی اجازه میده که از طریق نرم افزار هایی مانند Windows Live Writer به صورت ریموت به سایتشان مطلب ارسال کنند. همچنین اپلیکیشن موبایل وردپرس هم برای برقراری ارتباط با سایت شما از همین روش استفاده میکنند.مشکل این فایل زمانی رخ میده که فایل xmlrpc.php در وردپرس با ارسال درخواست از طریق post مورد حمله ی دیداس (DDOS – Denial of Service Attak ) قرار میگیره.اگر در سایت های وردپرسی خود از این امکانات بالا استفاده نمیکنید ، براحتی میتونید این فایل رو غیرفعال کنید
غیر فعال کردن XML-RPC از طریق htaccess
در این روش ، به جای غیر فعال کردن کامل XML-RPC، از طریق فایل htaccess، به طور کامل از دسترسی به فایل xmlrpc.php جلوگیری میکنیم. وقتی کسی نتونه به فایل xmlrpc.php دسترسی پیدا کنه، از امکانات XML-RPC هم نمیتواند استفاده یا سوء استفاده کنه. مزیت این روش این است که در این حالت میتونید یک یا چند آی پی خاص را جهت دسترسی به این فایل مجاز کنید. برای انجام این روش کد زیر را باید در فایل htaccess سایتتون قرار بدید.
در اینجا آی پی allow from 123.123.123.123 ، تنها اجازه دسترسی به این فایل رو داره
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
لینک آموزش (http://blueserver.ir/%d8%ba%db%8c%d8%b1-%d9%81%d8%b9%d8%a7%d9%84-xml-rpc-%d9%88%d8%b1%d8%af%d9%be%d8%b1%d8%b3/)
ترجمه و نوشته شده توسط : بلوسرور (http://blueserver.ir)
خرید VPS ارزان (http://blueserver.ir/) - سرور مجازی ارزان (http://blueserver.ir/%d8%b3%d8%b1%d9%88%d8%b1-%d9%85%d8%ac%d8%a7%d8%b2%db%8c-%d8%a7%d8%b1%d8%b2%d8%a7%d9%86-%d9%88%db%8c%d9%86%d8%af%d9%88%d8%b2-%d9%84%db%8c%d9%86%d9%88%da%a9%d8%b3-%d8%ae%d8%b1%db%8c%d8%af/)