Kako v WordPress-u izklopim XML-RPC (xmlrpc.php)?
Če ne uporabljate XML-RPC, NUJNO zaradi varnosti onemogočite dostop oz. klice datoteke xmlrpc.php.
Enostaven postopek izklopa XML-RPC oz. dostopa do xmlrpc.php
V imeniku domains/DOMENA/public_html (oz. na lokaciji WordPress datotek) ustvarite .htaccess datoteko oz. če že obstaja, le dodate:
<FilesMatch "xmlrpc.php">
order deny,allow
deny from all
#allow from xxx.xxx.xxx.xxx
</FilesMatch>
V kolikor uporabljate XML-RPC, nato nujno omejite dostop le stalnim IP naslovom, katerim boste omogočili dostop in se tako tudi zavarovali pred nepridipravi oz. raznovrstnimi napadi in zlorabami. V tem primeru xxx.xxx.xxx.xxx zamenjate s stalnim IP naslovom, ki mu želite omogočiti dostop do xmlrpc.php ter pred “allow” tudi odstranite lojtro “#”.
Kako preverim, če je izklopljen XML-RPC?
Pred izklopom običite vaš spletno stran (ime DOMENE/xmlrpc.php) in se bo izpisalo npr.: “XML-RPC server accepts POST requests only.“, primer:
Po izklopu pa morate NUJNO dobiti “403 Forbidden“, primer:
Kaj je XML-RPC pri WordPressu?
XML-RPC je komunikacijski protokol, ki sistemu WordPress omogoča interakcijo z zunanjimi spletnimi in mobilnimi aplikacijami. Od vključitve WordPress REST API-ja, se XML-RPC uporablja občutno manj pogosto kot nekoč. Vendar pa ga nepridipravi še vedno v veliki meri uporabljajo za izvajanje napadov na spletna mesta WordPress, itn.