پیدا کردن دسترسی به XML-RPC

خانه » مطالب عمومی » پیدا کردن دسترسی به XML-RPC

پیدا کردن دسترسی به XML-RPC

XML-RPC وردپرس

XML-RPC یا همان Remote Procedure Call یک پروتکل رابط بین سایت شما و نرم افزارهایی است که از طریق آن ها می توانید اقدام به کنترل سایت وردپرسی خود و مدیریت نوشته و تنظیمات سایت خود نمایید. این پروتکل از نسخه ی 3.5 به بعد به صورت پیش فرض در وردپرس فعال شد. قابلیت XML-RPC وردپرس امکان اتصال سایت شما را با سرویس هایی مانند IFTTT فراهم می کند و نرم افزارهای مدیریت در محیط ویندوز و اندروید نیز از همین راه برای اتصال به سایت شما استفاده می کنند. تیم امنیت سایت اصفهان با مضمون XML-RPC و توضیحاتی در این باره مقاله ای برای شما تهیه کرده است. تا پایان این مقاله ما را همراهی کنید.

چگونگی تهدید امنیت وردپرس توسط XML-RPC

اولین نکته ای که باید به آن توجه کرد این است که ممکن است سرویس ها و پلاگین هایی که این پروتکل را به کار می گیرند دارای فعالیت های ضد امنیتی باشند که برای نرم افزار ها و سرویس های امنیتی به راحتی قابل تشخیص نباشد. یکی از مشکلاتی که فعال بودن این پروتکل برای شما به وجود می آورد امکان حملات DDOS می باشد که در نهایت باعث Down شدن وب سایت شما می گردد. یکی از مشکلات دیگر امکان حمله ی Brute Force می باشد، در این حمله، هکر می تواند اسکریپت هایی بنویسد که به سایت مورد نظر درخواست هایی ارسال کند. این درخواست ها می تواند شامل نام کاربری و رمز عبور مربوط به سایت مورد حمله باشد. مسئله ی دیگر این است که وقتی از این چنین سرویس هایی استفاده می کنید، این نرم افزارها می توانند با سایت شما ارتباط برقرار کنند و بدون نیاز به بررسی برای سایت شما درخواست های ورود ارسال نمایند. هکر در حین ارسال این درخواست ها شروع به استخراج مطالب و محتویات سایت شما می نماید. این مسائل چند نمونه از مشکلاتی هستند که در صورت استفاده از پروتکل XML-RPC با آن ها مواجه می شوید. در صورتی که نیازی به استفاده از نرم افزارهای مذکور ندارید بهتر است تا قابلیت xml-rpc وردپرس را غیرفعال کنید.

 

غیر فعال کردن قابلیت xml-rpc وردپرس

شما می توانید برای غیرفعال کردن این قابلیت از سه روش استفاده از افزونه، استفاده از کدهایی در فانکشن و یا استفاده از کدهایی در فایل htaccess. استفاده کنید.

 

غیر فعال کردن قابلیت xml-rpc وردپرس با استفاده از افزونه

یکی از افزونه هایی که برای غیر فعال کردن این قابلیت استفاده می شود، افزونه ی Disable XML-RPC می باشد. با استفاده از این افزونه قادر به غیرفعال کردن قابلیت xml-rpc وردپرس می باشید. بعد از این که این افزونه را نصب کردید و سپس اقدام به فعال سازی آن نمودید نیازی به تنظیمات خاصی برای غیر فعال سازی این قابلیت وجود ندارد و خود به خود این قابلیت غیر فعال می شود.

 

غیر فعال کردن قابلیت xml-rpc وردپرس از طریق Function

راهکار دوم برای غیر فعال کردن قابلیت xml-rpc وردپرس قرار دادن کدهایی در فایل Function قالب می باشد. بعد از این فایل Function قالب خود را باز کردید باید کد زیر را به آن اضافه کنید.

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

 

غیر فعال کردن قابلیت xml-rpc وردپرس از طریق فایل htaccess.

در صورتی که برای غیر فعال کردن این قابلیت اقدام به ویرایش فایل htaccess. نمایید، این پروتکل از روی سایت شما غیرفعال می شود. برای دسترسی به این فایل ابتدا باید وارد CPANEL هاست خود شوید از آنجایی که این فابل جزء فایل های مخفی به شمار می رود بعد از ورود به بخش File Manager باید در بخش Setting گزینه ی Show hidden file را انتخاب کنید و دکمه ی Save را کلیک کنید تا این فایل برای شما به نمایش درآید. درنهایت بعد از باز کردن این فایل باید کد زیر را به آن اضافه کنید.

Prevent Access to xmlrpc.php File#
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
<Files/>

 

در این کد در خط چهارم به یک IP خاصی امکان دسترسی به این قابلیت داده شده است. درصورتی که می خواهید کلا این قابلیت از سایت شما حذف شود می توانید این خط کد را حذف کنید.

 

سخن آخر

در این مقاله سعی بر این شد که شما کاربران عزیز آشنایی مختصری با قابلیت xml-rpc وردپرس پیدا کنید. اگر سوال یا مشکلی در این رابطه داشتید و یا برای آگاهی از آموزش های بیشتر می توانید به سایت وب یار مراجعه کرده و اطلاعات موردنیازتان را از تیم طراحی سایت اصفهان دریافت کنید.