Как отключить XML-RPC в WordPress, чтобы избежать атак

XML-RPC — это протокол, встроенный в WordPress, который позволяет удалённо взаимодействовать с сайтом. Он используется для публикации записей из внешних приложений, мобильных клиентов и интеграций. Однако XML-RPC часто становится точкой уязвимости, так как его используют злоумышленники для проведения атак типа brute force и DDoS.

Что такое XML-RPC и зачем его отключать

XML-RPC — это интерфейс удалённого вызова процедур, через который можно делать запросы к WordPress. По умолчанию он включён в ядре с версии 3.5 и доступен по адресу https://вашсайт.ru/xmlrpc.php.

Плюсы XML-RPC:

  • Позволяет использовать мобильные приложения WordPress, например официальное мобильное приложение.
  • Поддерживает публикацию через внешние сервисы и инструменты.
  • Некоторые плагины и сервисы используют его для интеграций.

Минусы XML-RPC:

  • Часто служит уязвимостью для атак перебора паролей.
  • Используется для проведения DDoS-атак, отправляя множественные запросы.
  • Может быть причиной нагрузки на сервер.

Если вы не используете мобильные приложения WordPress или внешние сервисы, лучше отключить XML-RPC, чтобы защитить сайт.

Как отключить XML-RPC с помощью кода

Самый простой и надёжный способ — добавить фильтр в файл functions.php вашей темы или в отдельный плагин. Это полностью блокирует доступ к XML-RPC.

<?php
// Фильтр для отключения XML-RPC в WordPress
add_filter('wp_xmlrpc_enabled', '__return_false');
?>

Этот код предотвращает загрузку XML-RPC API, и все запросы к xmlrpc.php будут возвращать ошибку.

Блокировка доступа через .htaccess

Если сервер работает под Apache, можно полностью заблокировать доступ к xmlrpc.php через .htaccess. Добавьте следующий код:

# Отключить доступ к xmlrpc.php
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Это гарантирует, что запросы к xmlrpc.php не будут доходить до WordPress.

Отключение XML-RPC с помощью плагинов

Если вы предпочитаете не править код вручную, можно воспользоваться надёжными плагинами для отключения XML-RPC:

  • Disable XML-RPC — простой плагин, который полностью отключит XML-RPC.
  • WP Cerber Security — комплексный плагин безопасности с функцией блокировки XML-RPC и защиты от brute force.
  • Clearfy Pro — плагин для оптимизации и безопасности, в котором есть возможность отключить XML-RPC и другие ненужные функции.

Все эти плагины доступны на WPSHOP.RU.

Проверка, отключен ли XML-RPC

После отключения XML-RPC рекомендую проверить, действительно ли он не отвечает на запросы. Для этого можно использовать онлайн-сервисы, например:

Если всё сделано правильно, вы получите ошибку или пустой ответ, что означает успешное отключение.

Заключение: стоит ли отключать XML-RPC?

Если вы не используете мобильные приложения, внешние сервисы или плагины, нуждающиеся в XML-RPC, то отключение этого интерфейса — простой и эффективный способ повысить безопасность и снизить нагрузку на сервер.

В противном случае стоит внимательно следить за безопасностью и ограничивать доступ к XML-RPC, например, через файрвол или плагины безопасности.

Добавь в закладки и поделись с друзьями:

⭐⭐⭐⭐⭐
Как отключить XML-RPC в WordPress, чтобы избежать атак
09.03.2026
Решение проблемы с неработающими хуками в WooCommerce: диагностика и исправление
18.04.2026
Как настроить логирование ошибок в WordPress для удобного отладки
14.01.2026
Как настроить автоматический мониторинг здоровья WordPress с помощью WPCheck
04.11.2025
Как использовать WPCheck для отладки конфликтов между плагинами WordPress
27.01.2026
×

AI-плагин

WPGPT
Сам создает статьи для вашего сайта WordPress

SEO и мета-теги

Парсинг конкурентов

Изображения

Комментарии

Подробнее