Jak zablokować plik XML-RPC w WordPressie?

W głównym katalogu WordPressa znajduje się plik o nazwie xmlrpc.php, która wyróżnia się na tle pozostałych plików w katalogu głównym. Zastanawiałeś/-aś się kiedykolwiek, za co on odpowiada? Jeśli nie, to w dzisiejszym artykule wyjaśnię Ci, czym on jest, jaką pełni rolę i dlaczego możesz rozważyć zablokowanie go. Zatem, czym jest i jak zablokować plik XML-RPC w WordPressie?

Jak wyłączyć XML-RPC w WordPressie

Osoby nieco bardziej zaznajomione z systemami IT mogą już po samej nazwie kojarzyć fragment, który wskazuje na procedurę zdalnego wykonywania czynności („Remote Procedure Call”). I bardzo słusznie, gdyż plik xmlrpc.php pozwala WordPressowi otworzyć się na dostęp z zewnętrznych usług czy aplikacji. Przykładowo, jeżeli korzystalibyśmy z zewnętrznej aplikacji mobilnej do zarządzania wpisami na blogu, to łączyłaby się ona z Twoim WordPressem właśnie za pomocą tego pliku. Służy jednak nie tylko do wykonywania akcji – może także np. odbierać informacje z innych stron, takie jak komunikaty o Pingbackach.

Samo istnienie tego pliku na serwerze nie stanowi zagrożenia dla Twojej strony WWW – jest on domyślnie częścią instalacji każdego WordPressa. Problem pojawia się jednak w momencie, gdy nasza strona staje się celem ataku hakerskiego. Plik xmlrpc.php i jego potencjalna „otwartość” na zdalne zarządzanie stroną sprawiają, że stanowi on bardzo często furtkę dla zautomatyzowanych skryptów atakujących metodą Brute Force.

Dlaczego warto przemyśleć zablokowanie pliku xmlrpc.php?

O ile możliwość zarządzania WordPressem zdalnie, za pomocą zewnętrznych aplikacji, wydaje się być wygodna, o tyle należy pamiętać, że może być też źródłem potencjalnych zagrożeń. Plik ten może zostać wykorzystany np. do łamania haseł na stronie, dlatego warto zastanowić się nad jego zablokowaniem. Bardzo często aktywna funkcja XML-RPC w WordPressie zachęca hakerów do wykorzystywania wszelkich luk w tym skrypcie, a tym samym do nieuprawnionej wysyłki spamu, czy też ataków DDOS na stronę WWW.

Jeśli nie masz pewności, czy funkcja ta jest aktywna w twoim WordPressie, to wystarczy, że przejdziesz na stronę WordPress XML-RPC Validation Service.

W polu „Address” wpisz adres strony WWW, a następnie kliknij przycisk „Check”.

Sprawdzenie pliku xmlrpc.php na stronie.

Jeśli po sprawdzeniu pojawi się zielony ptaszek, oznacza to że strona posiada aktywną funkcję XML-RPC.

Wyszukiwarka pliku xmlrpc.php na stronie.

Czerwony krzyżyk informuje natomiast o tym, że dostęp do tego skryptu został zablokowany.

Weryfikacja pliku xmlrpc.php na stronie.

Jak zablokować XML-RPC w WordPressie?

Zablokowanie funkcji XML-RPC możesz wykonać na dwa sposoby:

  • całkowite zablokowanie wykonywania wszelkich skryptów, jak również połączenia ze stroną przez aplikacje wymagające tej funkcji. Wystarczy że do pliku .htaccess na serwerze dodasz następującą dyrektywę:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Sprawdź, jak połączyć się z FTP za pomocą programu FileZilla
  • zablokowanie funkcji XML-RPC pozwalając jednak JetPackowi, ValuePress oraz lokalnym aplikacjom WordPressa na działanie. Aby sam plik został zablokowany, a JetPack działał poprawnie musisz zalogować się na serwer i w pliku .htaccess dodać następującą dyrektywę:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
Satisfy All
</Files>

Pamiętaj, aby usunąć wcześniejszą regułę (jeśli ją dodałeś). Teraz usługa będzie działać prawidłowo.

Podsumowanie

Mam nadzieje, że ten artykuł pomoże Ci odpowiedzieć na pytanie, jak zablokować plik XML-RPC w WordPressie. Pamiętaj, że sama obecność pliku nie wpływa negatywnie na działanie Twoje strony WWW. Negatywne konsekwencje niesie za sobą bezpośrednie użycie tego pliku przez hakerów np. do ataków DDOS na stronę.

Artykuł odpowiedział na twoje pytanie? Udostępnij go dalej:
Default image
Karolina Wierzbińska
Zwolenniczka innowacyjnego podejścia do biznesu w sieci. Od kliku lat głównym zamiłowaniem jest SEO i Content Marketing. Nieustannie śledzi wszelkie nowinki technologiczne. Na co dzień entuzjastka zdrowego trybu życia i miłośniczka wszystkich ras psów.

Dodaj komentarz