Trackback- и pingback-спам — это одна из разновидностей спама на сайтах WordPress. На сегодняшний день существует много всевозможных скриптов и программ, с помощью которых халявщики-спамеры отправляют уведомления к записям вашего блога о том, что якобы на вашу статью сослались (хотя на самом деле это не так), и в этих уведомлениях ставят ссылки на свои продвигаемые сайты.

Одним из слабых и уязвимых мест в WordРress является интерфейс XML-RPC. Я им не пользуюсь и поэтому решил свои сайты обезопасить и совсем избавиться от этой функции. Теперь рассмотрим как это сделать.

1. Для запрета уведомлений нужно зайти в админке сайта в раздел Настройки — Обсуждение, и отключить пункты:

  • Пытаться оповестить блоги, упоминаемые в статье;
  • Разрешить оповещения с других блогов (уведомления и обратные ссылки);

После этого ваш блог перестанет быть источником спама, и перестанет принимать спам с других блогов под видом уведомлений.

настройки обсуждения

2. Эти изменения будут относиться только для постов, опубликованных с этого момента, а настройки старых постов останутся прежними. Чтобы запретить пинги и трекбэки в старых, уже опубликованных постах, нужно зайти в phpMyAdmin и выполнить команду SQL:

UPDATE wp_posts SET ping_status=»closed»;

Теперь все уведомления будут отключены полностью. Здесь обратите внимание на таблицу, которая прописана в команде — wp_posts и особое внимание на префикс таблицы. Если Вы меняли префикс wp_ на другой, например — cvk_, то и в команде прописывайте соответственно cvk_posts

3. В редакторе сайта откройте файл header.php и удалите в нём строку:

<link rel=»pingback» href=»https://mehelps.ru/<?php bloginfo(«pingback_url’); ?>» />

Если Вы делали оптимизацию шаблона, то она будет выглядеть так:

<link rel=«pingback» href=«http://вашсайт/xmlrpc.php» />

4. В корне сайта откройте папку wp-includes, найдите в ней файл default-filters.php и в этом файле найдите и  закомментируте фильтр:

//add_action(‘wp_head’, ‘rsd_link’);

5. Теперь остаётся удалить файлы wp-trackback.php и xmlrpc.php, которые находятся в корне сайта.

После всего этого злоумышленники не смогут воспользоваться интерфейсом XML-RPC, даже если и обнаружится какая-то не перекрытая дыра в безопасности WordPress.

 

Статья была полезной?