Hướng dẫn tắt XML-RPC cho WordPress

XML-RPC thường được khuyến cáo nên tắt chủ yếu vì lý do bảo mật. Trong bài viết này, VINASTAR hướng dẫn bạn cách tắt XML-RPC cho WordPress.

Dịch vụ XML-RPC thường được khuyến cáo nên tắt chủ yếu vì lý do bảo mật. Trong wordpress XML-RPC sẽ được bật theo mặc định và bạn không thể tắt nó thông qua trang quản trị. Trong bài viết này, VINASTAR hướng dẫn bạn cách tắt XML-RPC cho WordPress.

XML-RPC là gì?

Theo Wikipedia, XML-RPC là request từ xa sử dụng XML để mã hóa các request và HTTP làm cơ chế vận chuyển. Nói tóm lại, đây là một hệ thống cho phép bạn đăng bài lên blog WordPress của mình bằng các ứng dụng bên ngoài như Windows Live Writer mà không cần đăng nhập vào trang quản trị.

Tuy nhiên hiện nay file xml-rpc thường bị lợi dụng cho các cuộc tấn công bruteforce hay ddos, vì vậy nếu không sử dụng nó bạn có thể xem xét và vô hiệu hoá nó mà không ảnh hưởng gì tới hoạt động của website.

Tắt XML-RPC cho WordPress với file functions.php

Tất cả bạn phải làm là dán mã sau vào file functions.php của theme bạn đang sử dụng:

add_filter('xmlrpc_enabled', '__return_false');

Tắt XML-RPC cho WordPress với .htaccess

Mặc dù giải pháp trên hoàn toàn hữu ích, tuy nhiên nó có nhược điểm là vẫn tiêu tốn nhiều tài nguyên nếu trang web đang bị tấn công.

Trong những trường hợp đó, bạn có thể chặn tất cả các yêu cầu tới file xmlrpc.php bằng cách sử dụng .htaccess, Tất cả mọi việc cần làm là dán đoạn mã sau vào file .htaccess của bạn:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

• Đối với Nginx bạn sẽ cần thêm rule sau vào file vhost của website:

location ~ xmlrpc.php { deny all; access_log off; log_not_found off; }

Kết luận

Hiện nay file xml-rpc thường bị lợi dụng cho các cuộc tấn công bruteforce hay ddos, vì vậy nếu không sử dụng nó bạn có thể xem xét và vô hiệu hoá nó mà không ảnh hưởng gì tới hoạt động của website. Qua bài viết này VINASTAR đã hướng dẫn các bạn cách vô hiệu hoá xml-rpc cho wordpress. Nếu có bất kỳ đóng góp nào các bạn có thể để lại bình luận ở bên dưới. Các bạn có thể tham khảo thêm một số bài viết khác về bảo mật cho wordpress của VINASTAR: