SÄ hÀr inaktiverar du XML-RPC i WordPress

SÄ hÀr inaktiverar du XML-RPC i WordPress

XML-RPC-tjÀnsten var inaktiverad som standard lÀngst, frÀmst av sÀkerhetsskÀl. I WordPress 3.5 hÄller detta pÄ att förÀndras. XML-RPC aktiveras som standard och möjligheten att stÀnga av den frÄn din WordPress-instrumentpanel försvinner. I den hÀr artikeln visar vi dig hur du inaktiverar XML-RPC i WordPress och pratar vidare om beslutet att ha det aktiverat som standard.

Vad Àr XML-RPC?

Enligt Wikipedia Àr XML-RPC ett fjÀrrproceduranrop som anvÀnder XML för att koda sina samtal och HTTP som en transportmekanism. Kort sagt, det Àr ett system som lÄter dig publicera pÄ din WordPress-blogg med populÀra webbloggklienter som Windows Live Writer. Det behövs ocksÄ om du anvÀnder WordPress-mobilappen. Det behövs ocksÄ om du vill skapa anslutningar till tjÀnster som IFTTT.

Om du vill komma Ät och publicera pÄ din blogg pÄ distans behöver du XML-RPC aktiverat.

Tidigare fanns det sÀkerhetsproblem med XML-RPC och det var dÀrför inaktiverat som standard. I sin kommentar till trac-biljett # 21509 sa @nacin en av WordPress-kÀrnan:

Ganska lite har förÀndrats sedan vi introducerade off-by-default för XML-RPC. Deras kod har förbÀttrats och det anses inte lÀngre vara en andra klassens medborgare nÀr det gÀller API-utveckling, tack vare ett stort team med fantastiska bidragsgivare. SÀkerhet Àr inget större problem Àn resten av kÀrnan.

Det finns inte lÀngre en tvingande anledning att inaktivera detta som standard. Det Àr dags att vi tar bort alternativet helt.

Med den ökande anvÀndningen av mobil var denna förÀndring överhÀngande. Men vissa sÀkerhetsförsiktiga mÀnniskor kan sÀga att Àven om XML-RPC: s sÀkerhet inte Àr sÄ stor av ett problem, ger den fortfarande en extra yta för attack om en sÄrbarhet nÄgonsin hittades. SÄledes skulle det vara vettigare att hÄlla det inaktiverat.

För att hÄlla alla nöjda, medan anvÀndargrÀnssnittsalternativet och databasalternativet för att stÀnga av XML-RPC har tagits bort finns det ett filter som du kan anvÀnda för att stÀnga av det vid behov.

SÄ hÀr inaktiverar du XML-RPC i WordPress 3.5

Allt du behöver göra Àr att klistra in följande kod i ett platsspecifikt plugin:

add_filter('xmlrpc_enabled', '__return_false');

Alternativt kan du bara installera plugin som heter Disable XML-RPC. Allt du behöver göra Àr att aktivera det. Det gör exakt samma sak som koden ovan.

Hur du inaktiverar WordPress XML-RPC med .htaccess

Medan ovanstÄende lösning Àr tillrÀcklig för mÄnga, kan den fortfarande vara resurskrÀvande för webbplatser som attackeras.

I sÄdana fall kanske du vill inaktivera alla xmlrpc.php-förfrÄgningar frÄn .htaccess-filen innan begÀran överförs till WordPress.

Klistra bara in följande kod i din .htaccess-fil:


# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Eftersom vi inte anvÀnder nÄgon mobilapp eller fjÀrranslutningar för att publicera pÄ WPBeginner kommer vi att inaktivera XML-RPC som standard. Vad tycker du om frÄgan?