Dịch vụ XML-RPC đã bị vô hiệu hóa mặc định trong thời gian lâu nhất chủ yếu vì lý do bảo mật, những trong WordPress 3.5 thì là đã thay đổi. XML- RPC sẽ được kích hoạt mặc định và bạn sẽ không thể tắt nó khỏi bảng điều khiển WordPress. Trong bài này, chúng tôi sẽ chỉ cho bạn cách vô hiệu hóa XML-RPC trong WordPress và nói nhiều hơn về quyết định kích hoạt nó mặc định.
XML-RPC là gì?
Theo Wikipedia, XML-RPC là một điểu khiển từ xa sử dụng XML để mã hoá các cuộc gọi và HTTP như là một cơ chế vận chuyển. Nói tóm lại, đó là một hệ thống cho phép bạn đăng bài viết lên blog WordPress bằng các ứng dụng web phổ biến như Windows Live Writer. Nó cũng cần thiết nếu bạn đang sử dụng ứng dụng WordPress dành cho thiết bị di động và khi kết nối với các dịch vụ như IFTTT.
Nếu bạn muốn truy cập và đăng bài lên blog từ xa thì bạn cần bật XML-RPC.
Trước đây đã có những lo ngại về bảo mật với XML-RPC do đó nó đã bị vô hiệu theo mặc định. Trong khi bình luận về trợ giúp trac # 21509, @ nacin một trong những người có đóng góp quan trọng của WordPress cho biết:
[mks_pullquote align=”left” width=”600″ size=”17″ bg_color=”#fffd97″ txt_color=”#c63d0f”]Đã có rất nhiều thay đổi kể từ khi chúng tôi giới thiệu XML-RPC. Code của nó đã được cải thiện và không còn được coi trọng khi phát triển API nhờ vào công sức làm việc của một nhóm lớn những người đóng góp tuyệt vời. Bảo mật không còn được quan tâm nhiều hơn phần core còn lại nữa. Giờ đây không còn lý do thuyết phục để vô hiệu hóa cài đặt này theo mặc định nữa. Đã đến lúc chúng ta nên loại bỏ tùy chọn này hoàn toàn[/mks_pullquote]Với việc sử dụng điện thoại di động ngày càng tăng thì sự thay đổi này sẽ sắp xảy ra. Tuy nhiên, một số người cẩn trọng về bảo mật có thể nói rằng mặc dù sự bảo mật của XML-RPC không phải là vấn đề lớn nhưng vẫn nó vẫn gây ra rủi ro bị tấn công nếu có lỗ hổng nào được tìm thấy. Vì vậy vô hiệu hóa nó sẽ có ý nghĩa hơn.
Để mọi người được vui vẻ trong khi tùy chọn giao diện người dùng và tùy chọn cơ sở dữ liệu tắt XML-RPC đã bị gỡ bỏ thì có một bộ lọc mà bạn có thể sử dụng để tắt nó nếu cần.
Làm thế nào để vô hiệu hoá XML-RPC trong WordPress 3.5
Tất cả những gì bạn phải làm là dán code sau vào một plugin cụ thể của trang web:
add_filter('xmlrpc_enabled', '__return_false');
Ngoài ra, bạn có thể chỉ cần cài đặt plugin Disable XML-RPC. Tất cả những gì bạn phải làm là kích hoạt nó. Nó hoạt động giống code trên.
Làm thế nào để vô hiệu hóa XML-RPC với .htaccess
Mặc dù các giải pháp trên là đủ, nhưng vẫn có thể có một số tài nguyên quan trọng của web đang bị tấn công.
Trong những trường hợp này, bạn sẽ muốn vô hiệu hóa tất cả các yêu cầu xmlrpc.php từ tệp .htaccess trước khi yêu cầu thậm chí được chuyển vào WordPress.
Chỉ cần đơn giản dán code sau đây vào tệp tin .htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
Vì không sử dụng bất kỳ ứng dụng di động hoặc kết nối từ xa nào để xuất bản trên Dieuhau nên theo mặc định chúng tôi sẽ vô hiệu hóa XML-RPC. Bạn nghĩ sao về vấn đề này?
