Hướng dẫn tắt XML-RPC cho website WordPress của bạn

  • Sunday 14/11/2021

XML-RPC, một trong những cơ chế của WordPress, được phát triển để chuẩn hóa giao tiếp giữa các hệ thống khác nhau. Điều này có nghĩa là các ứng dụng bên ngoài WordPress (chẳng hạn như các nền tảng blog khác và ứng dụng khách trên máy tính cá nhân) có thể tương tác với WordPress.

Đặc điểm kỹ thuật này đã là một phần của WordPress kể từ khi ra đời và đã đóng một vai trò rất hữu ích. Nếu không có điều này, WordPress có thể đã bị tách biệt khỏi phần còn lại của Internet.

Tuy nhiên, xmlrpc.php có nhược điểm của nó. Điều này có thể dẫn đến các lỗ hổng trong trang web WordPress và cơ chế này hiện được thay thế bởi API REST của WordPress. Điều này cho phép bạn kết nối WordPress với các ứng dụng khác.

Trong bài viết này, PAVietnam sẽ giới thiệu cho bạn XML-RPC là gì, tại sao bạn cần tắt XML-RPC đi.

Hướng dẫn tắt XML-RPC cho website WordPress

Trước tiên cần tìm hiểu về XML-RPC và có tác dụng gì đối website sủ dụng mã nguồn WordPress.

1. Xmlrpc.php là gì?

XML-RPC là một cơ chế cho phép giao tiếp giữa WordPress và các hệ thống khác. Điều này đạt được bằng cách chuẩn hóa giao tiếp, sử dụng HTTP làm cơ chế truyền tải và XML làm cơ chế mã hóa.

Bản thân XML-RPC có lịch sử lâu đời hơn WordPress. Điều này tồn tại trong phần mềm blog b2, nền tảng cho WordPress vào năm 2003. Mã đằng sau hệ thống này được lưu trữ trong một tệp có tên xmlrpc.php trong thư mục gốc của trang web. XML-RPC đã lỗi thời, nhưng vẫn còn đó.

Trong các phiên bản trước của WordPress, XML-RPC bị tắt theo mặc định. Tuy nhiên, kể từ phiên bản 3.5, nó được bật theo mặc định. Lý do chính cho điều này là cho phép ứng dụng di động WordPress giao tiếp với trang web WordPress của bạn.

Với các ứng dụng di động WordPress trước phiên bản 3.5, bạn phải bật XML-RPC trên trang web của mình để đăng nội dung từ ứng dụng. Điều này là do ứng dụng không chạy WordPress. Thay vào đó, nó sử dụng xmlrpc.php để giao tiếp với trang WordPress.

Nhưng XML-RPC không phải là ứng dụng di động duy nhất được sử dụng. Nó cũng được sử dụng để kích hoạt giao tiếp giữa WordPress và các nền tảng blog khác, kích hoạt trackback và pingbacks và củng cố khả năng của plugin Jetpack để liên kết WordPress tự lưu trữ với WordPress.com.

Sau đó, REST API đã được tích hợp vào lõi WordPress và tệp xmlrpc.php không còn được sử dụng cho giao tiếp này nữa.API REST được dùng để giao tiếp với các ứng dụng dành cho thiết bị di động WordPress, ứng dụng khách trên máy tính cá nhân , nền tảng blog bên ngoài, WordPress.com (dành cho plugin Jetpack), cũng như các hệ thống và dịch vụ khác. Sự lựa chọn hệ thống mà REST API có thể kết nối phong phú hơn nhiều so với XML-RPC. Nó cũng có tính linh hoạt áp đảo.

Do đó, hiện tại REST API đã thay thế XML-RPC, bạn nên tắt nó trên trang web của mình. Lý do chi tiết cho việc vô hiệu hóa như sau.

2. Tại sao bạn nên tắt XML-RPC

Lý do chính khiến bạn cần phải vô hiệu hóa xmlrpc.php trên trang web WordPress của mình là nó có thể khiến bạn tiếp xúc với các lỗ hổng bảo mật và có thể trở thành mục tiêu tấn công.

Không có lý do gì để giữ cho XML-RPC được bật vì nó không cần giao tiếp bên ngoài WordPress nữa. Bạn nên tắt tính năng này để tăng tính bảo mật cho trang web của mình.

Nhưng nếu xmlrpc.php là một vấn đề bảo mật và thậm chí không hoạt động, tại sao nó không bị xóa hoàn toàn khỏi WordPress?

Điều này là do một trong những tính năng chính của WordPress luôn là khả năng tương thích ngược. Tất cả chúng ta đều biết rằng việc cập nhật WordPress, plugin và themes là điều quan trọng đối với bất kỳ ai quản lý trang web.

Tuy nhiên, một số chủ sở hữu trang web không muốn hoặc không thể cập nhật phiên bản WordPress của họ. Nếu người đó đang sử dụng phiên bản trước khi API REST được giới thiệu, anh ta sẽ cần quyền truy cập vào xmlrpc.php.

Nhưng từ khi XML-RPC được sử dụng phổ biến trên WordPress, nó lại làm dấy lên về nguy cơ bị tấn công brute force attack để dò mật khẩu hoặc nặng hơn là gửi một lượng lớn request đến máy chủ để làm tê liệt máy chủ, hình thức tấn công này được gọi là HTTP Flood Attack, là một kiểu tấn công DDoS.

 

3. Cách tắt XML-RPC

Có 3 cách để thực hiện như sau

Cách 1. Tắt XML-RPC trong plugin

Cách dễ nhất là cài đặt một plugin vô hiệu hóa xmlrpc.php. Việc này có thể thực hiện dễ dàng bằng plugin iThemes Security. Plugin này là plugin phổ biến nhất trong vấn đề bảo mật khi sử dụng WordPress, nếu bạn chưa cài plugin này thì có thể thực hiện cài đặt theo hướng dẫn này. Trong plugin đã có tích hợp sẵn chức năng chặn XML-RPC, bạn có thể thực hiện tại mục Security -> Settings -> WordPress Tweak và chọn Disable XML-RPC.

Cách 2. Tắt XML-RPC Pingback

Bạn có thể tắt một số tính năng nhất định của xmlrpc.php và tiếp tục tận dụng các tính năng khác của XML-RPC nếu cần bằng cách chọn Disable Pingbacks trong phần cài đặt tương tự như hình bên trên.

Cách 3. Tắt XML-RPC qua tệp .htaccess

Bạn chèn đoạn sau vào tập tin .htaccess ở thư mục gốc của website.

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

Tổng kết

Trên đây là bài viết  hướng dẫn bạn cách tắt chức năng xmlprc trên website WordPress . Hi vọng qua bài viết này bạn sẽ hiểu và biết cách cấu hình bảo mật cho website của mình một cách tốt nhất.

 

P.A Việt Nam cung cấp đa dạng các Plan Hosting WordPress đáp ứng yêu cầu của khách hàng
WordPress Hosting phổ thông
WordPress Hosting chất lượng cao
WordPress VIP

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/