XML-RPC — это протокол, встроенный в WordPress, который позволяет удалённо взаимодействовать с сайтом. Он используется для публикации записей из внешних приложений, мобильных клиентов и интеграций. Однако XML-RPC часто становится точкой уязвимости, так как его используют злоумышленники для проведения атак типа brute force и DDoS.
Что такое XML-RPC и зачем его отключать
XML-RPC — это интерфейс удалённого вызова процедур, через который можно делать запросы к WordPress. По умолчанию он включён в ядре с версии 3.5 и доступен по адресу https://вашсайт.ru/xmlrpc.php.
Плюсы XML-RPC:
- Позволяет использовать мобильные приложения WordPress, например официальное мобильное приложение.
- Поддерживает публикацию через внешние сервисы и инструменты.
- Некоторые плагины и сервисы используют его для интеграций.
Минусы XML-RPC:
- Часто служит уязвимостью для атак перебора паролей.
- Используется для проведения DDoS-атак, отправляя множественные запросы.
- Может быть причиной нагрузки на сервер.
Если вы не используете мобильные приложения WordPress или внешние сервисы, лучше отключить XML-RPC, чтобы защитить сайт.
Как отключить XML-RPC с помощью кода
Самый простой и надёжный способ — добавить фильтр в файл functions.php вашей темы или в отдельный плагин. Это полностью блокирует доступ к XML-RPC.
<?php
// Фильтр для отключения XML-RPC в WordPress
add_filter('wp_xmlrpc_enabled', '__return_false');
?>Этот код предотвращает загрузку XML-RPC API, и все запросы к xmlrpc.php будут возвращать ошибку.
Блокировка доступа через .htaccess
Если сервер работает под Apache, можно полностью заблокировать доступ к xmlrpc.php через .htaccess. Добавьте следующий код:
# Отключить доступ к xmlrpc.php
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>Это гарантирует, что запросы к xmlrpc.php не будут доходить до WordPress.
Отключение XML-RPC с помощью плагинов
Если вы предпочитаете не править код вручную, можно воспользоваться надёжными плагинами для отключения XML-RPC:
- Disable XML-RPC — простой плагин, который полностью отключит XML-RPC.
- WP Cerber Security — комплексный плагин безопасности с функцией блокировки XML-RPC и защиты от brute force.
- Clearfy Pro — плагин для оптимизации и безопасности, в котором есть возможность отключить XML-RPC и другие ненужные функции.
Все эти плагины доступны на WPSHOP.RU.
Проверка, отключен ли XML-RPC
После отключения XML-RPC рекомендую проверить, действительно ли он не отвечает на запросы. Для этого можно использовать онлайн-сервисы, например:
- https://xmlrpc.eritreo.it/ — проверка доступности xmlrpc.php.
Если всё сделано правильно, вы получите ошибку или пустой ответ, что означает успешное отключение.
Заключение: стоит ли отключать XML-RPC?
Если вы не используете мобильные приложения, внешние сервисы или плагины, нуждающиеся в XML-RPC, то отключение этого интерфейса — простой и эффективный способ повысить безопасность и снизить нагрузку на сервер.
В противном случае стоит внимательно следить за безопасностью и ограничивать доступ к XML-RPC, например, через файрвол или плагины безопасности.