Ваш IP: 54.92.197.82

Главная » Уязвимости WordPress

Уязвимости WordPress

XML-RPC - угроза для WordPress?

XML-RPC - протокол вызова удалённых процедур, т.е. Вы можете удалённо управлять своим сайтом - публиковать какую-то информацию на сайте... За его работу в WordPress отвечает файл xmlrpc.php Этот файл часто используется для хакерских атак на Ваш сайт либо без Вашего ведома Ваш сайт участвует в большой цепочке DDoS - атак на какие-то сайты. Как сделать защиту сайта от этого?

Если Вы не пользуетесь функцией удалённого управления сайтом, то лучше её отключить. Давайте рассмотрим как это можно сделать.

Первое, что нужно сделать - это открыть в админке сайта файл header.php и удалить там строку:

< link rel="pingback" href="< ?php bloginfo( 'pingback_url' ); " / >

Далее открываете файл wp-config.php, который находится в корневой папке сайта и в самом низу вставляете такую строку:

add_filter('xmlrpc_enabled', '__return_false');

Эта строка выключает все функции протокола XML-RPC.

Теперь в файле default-filters.php, который находится в папке wp-includes, закомментируйте один фильтр (поставьте перед ним два слеша):

//add_action('wp_head', 'rsd_link');

После того, как Вы это сделали, можно удалить файлы, которые непосредственно отвечают за пингацию и работу интерфейса XML-RPC: wp-trackback.php  и  xmlrpc.php

Теперь злоумышленники не смогут воспользоваться интерфейсом XML-RPC, что намного обезопасит Вfш сайт

Вся проблема состоит в том, что WordPress периодически обновляется и после обновления эту работу придётся повторять. Как альтернатива - можно закрыть доступ к файлу xmlrpc.php через файл .htaccess, прописав в нём следующее правило:

< FilesMatch "xmlrpc.php">
order deny,allow
deny from all
< /FilesMatch>

При копировании не забудьте убрать пробел после первых скобок.

Уязвимости WordPress обновлено: Апрель 10, 2017 автором: admin

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*