Xmlrpc là gì? Và vì sao ta nên vô hiệu file xmlrpc.php?

Quảng cáo
Ads_ngang
Website dinhthuanit.com có bài Xmlrpc là gì? Và vì sao ta nên vô hiệu file xmlrpc.php? Đôi khi, bạn cần truy cập vào website mà không có sẵn laptop để sử dụng. Trong một thời gian dài, giải pháp hoàn toàn phụ thuộc vào file xmlrpc.php. Trong những năm gần đây, file này bị lạm dụng và trở thành lỗ hổng bảo mật lớn. Trong bài này chúng tôi sẽ giải thích nó là gì và vì sao cần vô hiệu nó!

WordPress có sẵn các tính năng để bạn tương tác từ xa với site của bạn. Đôi khi, bạn cần truy cập vào website mà không có sẵn laptop để sử dụng. Trong 1 thời gian dài, biện pháp truy cập từ xa hoàn toàn phụ thuộc vào file xmlrpc.php. Trong những năm gần đây, file này bị lạm dụng và trở thành lỗ hổng bảo mật lớn.

Bên dưới chúng tôi sẽ lý giải file xmlrpc.php là gì. Chúng tôi cũng sẽ nói về các vấn đề bảo mật nó gây nên và làm làm sao để vá các lỗi bảo mật đó trên site WordPress của bạn.

Xmlrpc.php là gì?

XML-RPC là tính năng của WordPress để giúp truyền tải dữ liệu, với HTTP làm mướn cụ truyền và XML làm công cụ encode (mã hóa). Vì WordPress không phải là hệ thống đóng tận gốc nên tính năng này được tạo nên để khi WordPress cần giao tiếp với các hệ thống bên ngoài.

Ví dụ, bạn muốn đăng tin viết lên site từ điện thoại và không có máy tính bên cạnh. Bạn có thể dùng tính năng truy cập từ xa được kích hoạt bởi xmlrpc.php để đăng bài.

Chức năng chính mà xmlrpc.php kích hoạt là cho phép giao tiếp giữa điện thoại và site của bạn được thiết lập, thiết lập trackback và pingbacks từ những site khác, cùng một số tính năng liên kết với plugin Jetpac.

Vì sao Xmlrpc.php được tạo và ngày trước nó được sử dụng làm gì?

Sự chào đời của XML-RPC ở vào những ngày đầu của WordPress trước lúc được gọi là WordPress.

Lúc trước, khi kết nối internet còn chậ, quá trình viết bài và xuất bản bài viết lên web còn khó khăn và tốn nhiều gian. Thay vì viết bài ngay trên trình duyệt, mọi người thường viết bài trên máy tính sau đó copy và dán nội dung vào web. Tuy nhiên, phương pháp này cũng không phải tốt nhất.

Giải pháp thay thế vào khi ấy là tạo một blogging client offline, nơi bạn có thể viết nội dung, sau đó kết nối tới blog của bạn để xuất bản nó. Kết nối này được thực hiệnt thông qua XML-RPC. Với nền tảng XML-RPC, những ứng dụng mới đầu sử dụng loại kết nối này để giúp người sử dụng đăng nhập WordPress từ thiết bị của họ.

XML-RPC hiện tại

Vào năm 2008, với phiên bản WordPress 2.6, đã có lựa chọn để bạn cũng đều có thể kích hoạt hoặc vô hiệu XML-RPC. Tuy nhiên, sau khi có ứng dụng  WordPress iPhone app, XML-RPC được kích hoạt mặc định, và chẳng thể tắt tận gốc chức năng này được trong setting. Tình trạng này vẫn được giữ nguyên đến nay.

Tuy nhiên, chức năng của files này đã giảm thiểu đáng kể theo thời gian, và kích cỡ của file đã giảm từ 83kb còn 3kb, vì vậy nó không vào vai trò lớn như trước đây.

Tương lai của XML-RPC

Với WordPress API mới, chúng ta có thể thấy XML-RPC sẽ sớm bị loại bỏ hoàn toàn. Mặc dù API mới vẫn đang nằm ở trong thời kì thí nghiệm và chỉ có thể dùng khi kích hoạt plugin.

Tuy nhiên, API mới sẽ được code trực tiếp vào trong WordPress core, để loại bỏ hoàn toàn file xmlrpc.php, vì bây giờ nó hoàn toàn chẳng cần phải có nữa.

API mới không hoàn hảo, nhưng qua thời gian nó sẽ hùng mạnh hơn, bảo mật tốt hơn và giải quyết mọi thứ vấn đề mà xmlrpc.php đang có.

Tại sao bạn nên vô hiệu WordPress Xmlrpc.php

Vấn đề lớn số 1 của XML-RPC là bảo mật. Chúng không đến từ bản thân XML-RPC, mà từ file xmlrpc.php bị dùng để làm cách thức tiến công brute force lên chính bản thân website chứa nó.

Dĩ nhiên, bạn có thể tự bảo vệ bằng cách tạo một mật khẩu cực mạnh, và dùng thêm plugin WordPress bảo mật. Nhưng cách hữu hiệu nhất là cứ vô hiệu hẵn nó đi.

Có 2 nhược điểm của xmlrpc mà bị lạm dụng trước đây.

Đầu tiên là dùng brute force attack để tấn công tận gốc vào website. Một hacker sẽ thử truy cập website của bạn bằng cách tận dung file xmlrpc.php để truy cập bằng nhiều tổ hợp đã được biết đến của username và password.  Chỉ cần một command là cũng đều có thể chạy tự động hằng trăm password không trùng lặp để thử truy cập. Việc này bypass được các công cụ bảo mật vì các công cụ này không bảo quản được nếu tấn công qua được xmlrpc.

Cách thứ 2 là tiến công DDoS vào website khiến nó bị down. Hackers có thể sử dụng tính năng pingback trong WordPress để gửi pingbacks tới hàng nghìn sites cùng lúc. Xmlrpc.php mở đường cho hacker phát tán việc tiến công DDoS bằng việc bổ trợ gần như không giới hạn số IP address

Để kiểm tra xem XML-RPC có đang chạy không, bạn có thể dùng tool XML-RPC Validator để chạy thử. Nếu site cũng đều có thể vận hành được và nếu thấy báo lỗi có tức là site của bạn chưa kích hoạt XML-RPC.

Nếu không thấy lỗi, bạn có thể ngưng xmlrpc.php lại bằng 2 cách thức bên dưới

Phương pháp 1: Vô hiệu Xmlrpc.php bằng Plugins

Vô hiệu XML-RPC trên WordPress rất đơn giản.

Bạn chỉ cần chuyển tới mục Plugins › Add New trong WordPress dashboard. Tìm plugin Disable XML-RPC và cài đặt plugin như bên dưới:

Cài đặt plugin disable XML-RPC

Kích hoạt plugin đây là được. Plugin sẽ tự động chạy code cần có để tắt XML-RPC.

Tuy nhiên, có thể có nhiều plugin khác đang dùng một yếu tố của XML-RPC, vì vậy, vô hiệu nó hoàn toàn cũng có thể có thể gây lỗi xung đột plugin và khiến site không hoạt động.

Nếu bạn chỉ mong tắt từng phần của XML-RPC, nhưng vẫn cấp phép plugin và chức năng nào chạy, hãy cài những plugin khác như bên dưới:

  • Stop XML-RPC Attack. Plugin này sẽ chặn mọi tiến công bằng XML-RPC, nhưng nó vẫn cho phép các plugin như Jetpack, và nhiều công cụ tự động khác truy cập vào file xmlrpc.php.
  • Control XML-RPC Publishing. Cho phép khống chế và sử dụng công cụ6 xuất bản từ xa bằng xmlrpc.php.

Phương pháp 2: Vô hiệu WordPress Xmlrpc.php thủ công

Nếu bạn không muốn plugin và thích tự làm việc này. Vậy hãy làm theo cách sau. Nó sẽ giúp bạn chặn tất cả những đòi hỏi tới xmlrpc.php trước khi được chuyển qua WordPress.

Mở file .htaccess. Bạn cũng có thể có thể dùng tính năng ‘show hidden files’ trong file manager hoặc FTP client để thấy file này.

Bên trong file .htaccess, dán đoạn code sau vào:

 # Block WordPress xmlrpc.php requests    order deny,allow deny from all allow from 123.123.123.123    

Lời kết

Tóm lại, XML-RPC là một biện pháp cho việc xuất bản từ xa cho WordPress. Tuy nhiên, giải pháp này đi cùng với việc đánh đổi tính an toàn của WordPress site và sẽ cho dù gây gây hại nghiêm trọng chẳng thể khôi phục cho các site WordPress đó.

Để đảm bảo site của bạn an toàn, hãy cứ vô hiệu xmlrpc.php hoàn toàn. Trừ khi bạn cần vài chức năng liên quan đến việc xuất bản từ xa, hoặc cho plugin Jetpack, thì nên dùng plugin quản lý việc này, lấp hỗ hổng bảo mật nhưng vẫn duy trì tính năng này.

Thời gian tới, chúng ta sẽ thấy là chức năng của XML-RPC sẽ tự được tích hợp vào WordPress API mới, sẽ cấp phép truy cập từ xa đơn giản hơn nhưng vẫn đảm bảo việc bảo mật wordpress. Nhưng trước lúc tới lúc đó, hãy cứ bảo vệ bạn trước khỏi vấn đề của xmlrpc. Vì thực sự, lúc này bạn đã có thể truy xuất WordPress bất kỳ khi nào từ bất kỳ thiết bị nào vào dashboard không cần thông qua xmlrpc.

Bạn chặn truy cập XML-RPC bằng plugin hay thủ công? Bạn có gặp bất kỳ vấn đề bảo mật nào liên quan đến nó không? Hãy chia sẽ bình luận của bạn bên comment bên dưới nhé. 

Từ khóa bài viết: dinhthuanit.com,

Bài viết Xmlrpc là gì? Và vì sao ta nên vô hiệu file xmlrpc.php? được tổng hợp và biên tập bởi: dinhthuanit.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho dinhthuanit.com để điều chỉnh. dinhthuanit.com xin cảm ơn.

Bài Viết Liên Quan


Bài Viết Khác


Quảng cáo
Ads_ngang