На заре существования WordPress существовали функции, позволяющие удаленно взаимодействовать с вашим сайтом. Эти же характеристики позволили создать сообщество, предоставив другим блоггерам доступ к ваш блог. Основным инструментом, используемым для этой цели, является « XML-RPC .
« XML-RPC "Или" XML удаленного вызова процедур Дает большую силу WordPress:
- Подключение к вашему сайту с помощью смартфона
- TrackBacks и Pingbacks включены ваш блог
- Расширенное использование Jetpack
Но есть проблема с XML-RPC ", которую вы должны решить, чтобы сохранить безопасность вашего WordPress блог.
Как XML-RPC используется в WordPress
Давайте вернемся в первые дни блоггинг "(задолго до того, WordPress) большинство авторов в интернете пользовались коммутируемым Для серфинга в Интернете. Было сложно писать статьи и отправлять их в Интернет. Решением было написать на компьютер офлайн и " копир / Коллер Ваша статья Люди, которые использовали этот метод, находили это особенно трудным, потому что их текст часто имел иностранные коды, даже если документ был сохранен в формате HTML.
Blogger создал интерфейс прикладного программирования (API), чтобы другие разработчики могли получить доступ к блогам Blogger. Достаточно было указать название веб-сайта, который позволял пользователям создавать статьи в автономном режиме, а затем подключаться к Blogger API через XML-RPC. Другие системы ведения блогов последовали этому примеру, и в конечном итоге появился MetaWeblogAPI, который стандартизировал доступ по умолчанию.
Спустя десять лет большинство наших приложений находятся на наших телефонах и планшетах. Одна из вещей, которую люди любят делать со своими телефонами, — это публиковать сообщения на своих телефонах. WordPress блог. В 2008-09 годах Automattic была вынуждена создать приложение WordPress практически для каждой мобильной операционной системы (та же Blackberry и Windows Mobile).
Эти приложения позволяли через интерфейс XML-RPC использовать ваши учетные данные WordPress.com для подключения к сайту WordPress, на котором у вас есть определенные права доступа.
Почему мы должны забыть об XML-RPC?
Совместимость с XML-RPC Был частью WordPress с первого дня. WordPress 2.6 был выпущен 15 июля 2008 г., и активация " XML-RPC Был добавлен в настройки WordPress и по умолчанию " от .
Через неделю была выпущена версия WordPress для iPhone, и пользователей попросили активировать эту функцию. Через четыре года после того, как приложение для iPhone вошло в семейство, WordPress 3.5 активировал " XML-RPC .
Основные недостатки, связанные с XML-RPC:
- Атаки методом грубой силы: злоумышленники пытаются войти в WordPress с помощью xmlrpc.php с таким же количеством комбинаций имени пользователя и пароля. Пробных ограничений нет. Метод в xmlrpc.php позволяет злоумышленнику использовать одну команду (system.multicall) Угадать сотни паролей.
- Атаки отказа в обслуживании через Pingback
Удобство против безопасности WordPress
Итак, снова поехали. Современный мир глубоко скучен со своими компромиссами.
Если вы хотите убедиться, что никто не принесет бомбу на вашу лодку, просто пропустите ее через металлоискатели. Если вы хотите защитить свою машину во время покупок, заприте двери и закройте окна. Вы не можете просто полагаться на пароль веб-сайта, чтобы защитить его (автомобильные окна обеспечивают достаточную защиту?), Особенно если вы используете Jetpack или мобильные приложения.
Как отключить XML-RPC на WordPress
Итак, вы стали зависимыми от всех этих инструментов, которые, в свою очередь, зависят от XML-RPC. Я понимаю, что вам не нужно отключать "XML-RPC" даже на некоторое время.
Однако вот несколько плагинов, которые помогут вам в этом:
- Стоп XML-RPC Attack : позволяет Jetpack и другим инструментам Automattic получать доступ к xmlrpc.php через .htaccess.
- Управление Publishing XML-RPC: просто возвращает старый вариант удаленной публикации обратно к параметрам записи.
- iThemes Security, Anti-Malware безопасности и Brute-Force Firewall et Все в одном WP Безопасность и брандмауэрЭти средства безопасности общего назначения включают защиту от перебора в бесплатных версиях. Они отслеживают повторные попытки входа в систему с или без xmlrpc.php и защищают вас от запросов, которые пытаются взломать ваш сайт.
REST (и OAuth) на помощь
Теперь вы можете знать, что разработчики WordPress обращаются к решению REST. У разработчиков из группы REST API было несколько проблем при подготовке, в том числе с монетой аутентификации, предназначенной для исправления проблемы XML-RPC. Когда это будет наконец реализовано (в настоящее время запланировано для WordPress 4.7 в конце 2016), вам не придется использовать XML-RPC для соединения с программным обеспечением, таким как JetPack.
Вместо этого вы будете проходить аутентификацию через протокол OAuth. Если вы не знаете, что такое протокол OAuth, вспомните, что происходит, когда веб-сайт просит вас войти в систему с помощью Google, Facebook или даже Twitter. Обычно на этих платформах используется протокол OAuth.
Тест WordPress REST API
Как я уже говорил ранее, REST API еще не интегрирован в ядро WordPress и не будет в ближайшие месяцы. Сегодня вы можете начать тестирование на своих тестовых средах:
Rest API определенно станет будущим WordPress. Мы уже написали несколько руководств по последнему, которые дадут вам идеи о том, как вы можете начать его реализовывать:
- Как узнать, когда использовать Rest API
- Как использовать Rest API
- 7 эффективных реализаций Rest API
- Как использовать WordPress HTTP API
Вот и все для этого урока. Надеюсь, вы будете лучше информированы о рисках, связанных с использованием XML-RPC. Не стесняйтесь задавать нам вопросы в форма Комментарии.
