Vô hiệu hóa XMLRPC trong WordPress

Quảng cáo
Ads_ngang
Website dinhthuanit.com có bài Vô hiệu hóa XMLRPC trong WordPress

XMLRPC là một hệ thống cấp phép cập nhật từ xa lên WordPress từ những ứng dụng khác. Chẳng hạn, hệ thống Windows Live Writer có khả năng đăng blog trực diện lên WordPress vì XMLRPC.

Về bản chất, XMLRPC có thể mở trang web cho những cuộc tiến công không giống nhau và các vấn đề khác. Tuy nhiên, các nhà phát triển từ lâu đã tối ưu bảo mật cho nó và nó luôn là một ứng dụng được dùng rộng rãi.

Trong hướng dẫn này, mình sẽ chỉ cho bạn cách kích hoạt và vô hiệu hóa XMLRPC.

Tại sao bạn cần XMLRPC?

XMLRPC cho phép kết nối từ xa với WordPress. Không có nó, các công cụ và ứng dụng xuất bản khác nhau sẽ chẳng thể truy cập tài nguyên trang web của bạn. Mọi cập nhật hoặc bổ sung cho trang web bắt buộc phải được thực hành trong khi đăng nhập trực tiếp vào hệ thống.

Ưu điểm : Bằng cách vô hiệu hóa tính năng này, bạn có thể giảm nguy cơ các cuộc tiến công từ bên ngoài có được quyền truy cập vào website của bạn. Mặc dù những người đóng góp cho nền tảng này chứng thực việc lập trình XMLRPC sẽ an toàn như các phần còn sót lại của hệ thống WordPress, một số người cũng có thể cảm thấy an toàn hơn bằng cách vô hiệu hóa XMLRPC.

Nhược điểm : Nhược điểm rõ rệt khi bạn vô hiệu hóa XMLRPC là các phần mềm từ xa không thể truy cập vào WordPress. Điều này loại bỏ một số chức năng và tính linh hoạt của hệ thống. Thay vì tự động đăng blog từ một phần mềm khác thông qua truy cập từ xa, mọi nội dung và các thay biến tấu bắt buộc phải được thi hành thông qua việc đăng nhập trực diện vào WordPress.

Điều này có thể gây phiền nhiễu cho những người thích ý tưởng đăng nội dung trực diện từ thiết bị di động của họ.

XMLRPC chỉ thực thụ hữu ích nếu bạn có kế hoạch sử dụng các ứng dụng di động hoặc kết nối từ xa để xuất bản nội dung trên trang web của bạn. Vì sử dụng di động là 1 cách phổ biến để truy cập Internet, nhiều người sẽ sử dụng các ứng dụng từ xa để phát triển trang web WordPress của họ đơn giản hơn nhiều.

Đây cũng chính là một trong số lý do tại sao các nhà phát triển đã nỗ lực rất nhiều để khắc phục các sự cố với tính năng XMLRPC.

Tuy nhiên, không phải ai cũng cần kích hoạt tính năng này, đặc biệt do phiên bản WordPress ngày nay hoạt động khá tốt trong thiết bị di động.

Vô hiệu hóa XMLRPC bằng plugin

Để thực hiện, bạn cài đặt plugin Manage XML-RPC. Plugin này sẽ giúp bạn tắt bật XMLRPC bất cứ khi nào bạn muốn. Sau khi kích hoạt, bạn truy cập menu “XML-RPC Settings”.

Lưu ý: plugin cũng cấp phép bạn vô hiệu hóa pingbacks. Bên cạnh đó, bạn cũng đều có thể liệt kê IP để cấp phép hoặc không cấp phép sử dụng XMLRPC.

Đừng quên, nhấn nút Save changes để lưu lại cài đặt của bạn.

Ngoài ra, có 1 số plugin khác bạn cũng có thể có thể sử dụng để vô hiệu hóa XMLRPC.

  • Disable XML-RPC: là 1 cách dễ dàng để chặn truy cập vào WordPress từ xa. Nó là một trong những plugin được đánh giá đỉnh cao với trên 60.000 cài đặt. Plugin này đã giúp nhiều người tránh các cuộc tiến công từ chối dịch vụ thông qua XMLRPC
  • G2 Security: cung cấp cho bạn khả năng vô hiệu hóa XMLRPC cũng như các tính năng khác để khóa WordPress. Nó sử dụng Google Safe Browseing, cảnh báo lỗ hổng từ WPScan, có thể vô hiệu hóa trình chỉnh sửa tệp và xóa các tiêu đề không cần có khỏi hệ thống. Nó cũng có thể có thể là một giải pháp tốt cho các người kiếm tìm bảo mật trang web WordPress.

Vô hiệu hóa XMLRPC sử dụng .htaccess

Cách này khá dễ dàng và hiệu quả khi dùng tệp .htaccess để vô hiệu hóa XMLRPC. Cách này có thể được sử dụng rất nhiều nếu bạn không thích cài quá nhiều plugin mới.

Trước tiên, bạn truy cập vào FTP hoặc trình quản lý tệp trong cPanel. Sau đó tìm file .htaccess & thêm vô đoạn code sau:

 # Block WordPress xmlrpc.php requests    order deny,allow deny from all allow from 123.123.123.123     

Đoạn code trên sẽ từ chối truy cập vào file xmlrpc.php

Chú ý: một số cpanel cũng có thể có thể ẩn file này, để xem các file ẩn bạn bật tùy chọn xem toàn bộ các files trong cpanel.

Vô hiệu hóa XML-RPC sử dụng PHP

WordPress có hàng tá API, bạn cũng đều có thể tắt tính năng XMLRPC trong WordPress sử dụng Actions & Filter. Rất dễ dàng bạn chèn đoạn mã sau đây vào cuối tệp functions.php của giao diện WordPress hoặc vào một plugin của bạn.

 function mxr_remove_X_pingback_header($headers) { unset($headers['X-Pingback']); return $headers; } function mxr_disable_ping_onpage_load() { if(esc_attr(get_option('allow_disallow_pingback'))=='disallow') { add_filter('xmlrpc_methods', 'mxr_disable_xmlrpc_pingback'); add_filter('wp_headers', 'mxr_remove_X_pingback_header'); } } add_action('init', 'mxr_disable_ping_onpage_load'); add_filter(‘xmlrpc_enabled’, ‘__return_false’);  

Khi nào bạn phải kích hoạt XMLRPC?

Nếu bạn sử dụng hoặc đang sẵn có kế hoạch sử dụng, một hệ thống từ xa để đăng nội dung lên trang web của bạn, bạn sẽ cần bật tính năng này.
Không phải ai cũng cần được XMLRPC trong WordPress. Trên thực tế, rất nhiều bạn có thể không khi nào sử dụng tính năng này. Nếu bạn lo lắng về các vấn đề bảo mật, thì bạn nên tắt tính năng này cho đến khi bạn thực thụ cần nó.

Hãy cho mình biết suy nghĩ của bạn trong phần bình luận bên dưới bài viết này. Hãy theo dõi kênh chia sẻ kiến thức WordPress của TopVn trên Twitter và Facebook

Bài viết Vô hiệu hóa XMLRPC trong WordPress được tổng hợp và biên tập bởi: dinhthuanit.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho dinhthuanit.com để điều chỉnh. dinhthuanit.com xin cảm ơn.

Bài Viết Liên Quan


Bài Viết Khác


Quảng cáo
Ads_ngang