WordPress / отключение xmlrpc.php

Как я писал в предыдущей статье WordPress нагрузка на процессор и XMLRPC.PHP. Скрипт xmlrpc.php в WordPress представляет опасность для сайта. Поскольку но этому интерфейсу можно безнаказанно брутить админский пароль блога.

Для того чтобы прекратить или не допустить подобные атаки необходимо избавиться от данного интерфейса. Сделать это можноо различными способами.

Самый простой — плагин Disable XML-RPC (его просто активировать и всё). Он удобен тем, что при обновлении блога файлы не обновятся обратно.

Я пробовал изменить файл xmlrpc.php на пустой <?php ?>, поскольку если его просто удалить бот все равно к нему обращается и блогу приходится генерировать страницу 404 с дизайном и всеми виджетами, что также создает ненужную нагрузку. Но при обновлении блога до новой версии он скорее всего вернется в прежнее состояние. Поэтому плагин предпочтительнее.

Затем необходимо отключить интерфейсы trackback и xmlrpc в самом блоге.

Раз

xml1

Два

xml2
Но это не все, нужно отключить его и для старых записей

UPDATE wp_posts SET ping_status=“closed”;

Затем было бы неплохо удалить ссылки на xmlrpc.php из дизайна блога.

<link rel=”pingback” href=”https://вашсайт/xmlrpc.php” />
<link rel=”pingback” href=”<?php bloginfo(‘pingback_url’); ?>
<link rel=”EditURI” type=”application/rsd+xml” title=”RSD” href=”/xmlrpc.php?rsd” />

Как очередной плюс, на один запрос к базе меньше, при генерации страницы.

Такие вот методы помогли мне отбиться от назойливых брутеров. Ну пришлось несколько IP забанить, ибо они продолжали долбиться даже после этого, хоть нагрузки такой и не было.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *