Vô hiệu hóa XMLRPC trong WordPress

XMLRPC là một hệ thống cho phép cập nhật từ xa lên WordPress từ các ứng dụng khác. Chẳng hạn, hệ thống Windows Live Writer có khả năng đăng blog trực tiếp lên WordPress vì XMLRPC.

Về bản chất, XMLRPC có thể mở trang web cho các cuộc tấn công khác nhau và các vấn đề khác. Tuy nhiên, các nhà phát triển từ lâu đã tối ưu bảo mật cho nó và nó vẫn là một ứng dụng được sử dụng rộng rãi.

Trong hướng dẫn này, mình sẽ chỉ cho bạn cách kích hoạt và vô hiệu hóa XMLRPC.

Tại sao bạn cần XMLRPC?

XMLRPC cho phép kết nối từ xa với WordPress. Không có nó, các công cụ và ứng dụng xuất bản khác nhau sẽ không thể truy cập tài nguyên trang web của bạn. Mọi cập nhật hoặc bổ sung cho trang web sẽ phải được thực hiện trong khi đăng nhập trực tiếp vào hệ thống.

Ưu điểm: Bằng cách vô hiệu hóa tính năng này, bạn có thể giảm nguy cơ các cuộc tấn công từ bên ngoài có được quyền truy cập vào website của bạn. Mặc dù những người đóng góp cho nền tảng này chứng thực việc lập trình XMLRPC sẽ an toàn như các phần còn lại của hệ thống WordPress, một số người có thể cảm thấy an toàn hơn bằng cách vô hiệu hóa XMLRPC.

Nhược điểm: Nhược điểm rõ ràng khi bạn vô hiệu hóa XMLRPC là các ứng dụng từ xa không thể truy cập vào WordPress. Điều này loại bỏ một số chức năng và tính linh hoạt của hệ thống. Thay vì tự động đăng blog từ một ứng dụng khác thông qua truy cập từ xa, mọi nội dung và các thay đổi khác sẽ phải được thực hiện thông qua việc đăng nhập trực tiếp vào WordPress.

Điều này có thể gây rắc rối cho những người thích ý tưởng đăng nội dung trực tiếp từ thiết bị di động của họ.

XMLRPC chỉ thực sự hữu ích nếu bạn có kế hoạch sử dụng các ứng dụng di động hoặc kết nối từ xa để xuất bản nội dung trên trang web của bạn. Vì sử dụng di động là một cách phổ biến để truy cập Internet, nhiều người sẽ sử dụng các ứng dụng từ xa để phát triển trang web WordPress của họ dễ dàng hơn nhiều.

Đây cũng là một trong những lý do tại sao các nhà phát triển đã nỗ lực rất nhiều để khắc phục các sự cố với tính năng XMLRPC.

Tuy nhiên, không phải ai cũng cần kích hoạt tính năng này, đặc biệt do phiên bản WordPress ngày nay hoạt động khá tốt trong thiết bị di động.

Vô hiệu hóa XMLRPC bằng plugin

Để thực hiện, bạn cài đặt plugin Manage XML-RPC. Plugin này sẽ giúp bạn bật và tắt XMLRPC bất cứ khi nào bạn muốn. Sau khi kích hoạt, bạn truy cập menu “XML-RPC Settings”.

Lưu ý: plugin cũng cho phép bạn vô hiệu hóa pingbacks. Bên cạnh đó, bạn có thể liệt kê IP để cho phép hoặc không cho phép sử dụng XMLRPC.

Đừng quên, nhấn nút Save changes để lưu lại cài đặt của bạn.

Ngoài ra, có một số plugin khác bạn có thể sử dụng để vô hiệu hóa XMLRPC.

• Disable XML-RPC: là một cách đơn giản để chặn truy cập vào WordPress từ xa. Nó là một trong những plugin được đánh giá cao nhất với hơn 60.000 cài đặt. Plugin này đã giúp nhiều người tránh các cuộc tấn công từ chối dịch vụ thông qua XMLRPC
• G2 Security: cung cấp cho bạn khả năng vô hiệu hóa XMLRPC cũng như các tính năng khác để khóa WordPress. Nó sử dụng Google Safe Browseing, cảnh báo lỗ hổng từ WPScan, có thể vô hiệu hóa trình chỉnh sửa tệp và xóa các tiêu đề không cần thiết khỏi hệ thống. Nó có thể là một giải pháp tốt cho những người tìm kiếm bảo mật trang web WordPress.

Vô hiệu hóa XMLRPC sử dụng .htaccess

Cách này khá đơn giản và hiệu quả khi sử dụng tệp .htaccess để vô hiệu hóa XMLRPC. Cách này có thể được sử dụng rất nhiều nếu bạn không muốn cài quá nhiều plugin mới.

Trước tiên, bạn truy cập vào FTP hoặc trình quản lý tệp trong cPanel. Sau đó tìm file .htaccess & thêm vào đoạn code sau:

# Block WordPress xmlrpc.php requests
<files xmlrpc.php="">
order deny,allow
deny from all
allow from 123.123.123.123
</files>

Đoạn code trên sẽ từ chối truy cập vào file xmlrpc.php

Chú ý: một số cpanel có thể ẩn file này, để xem các file ẩn bạn bật tùy chọn xem toàn bộ các files trong cpanel.

Vô hiệu hóa XML-RPC sử dụng PHP

WordPress có hàng tá API, bạn có thể tắt tính năng XMLRPC trong WordPress sử dụng Actions & Filter. Rất đơn giản bạn chèn đoạn mã sau đây vào cuối tệp functions.php của giao diện WordPress hoặc vào một plugin của bạn.

function mxr_remove_X_pingback_header($headers) {
unset($headers['X-Pingback']);
return $headers;
}
function mxr_disable_ping_onpage_load() {
if(esc_attr(get_option('allow_disallow_pingback'))=='disallow') {
add_filter('xmlrpc_methods', 'mxr_disable_xmlrpc_pingback');
add_filter('wp_headers', 'mxr_remove_X_pingback_header');
}
}
add_action('init', 'mxr_disable_ping_onpage_load');
add_filter(‘xmlrpc_enabled’, ‘__return_false’);

Khi nào bạn cần kích hoạt XMLRPC?

Nếu bạn sử dụng hoặc đang có kế hoạch sử dụng, một hệ thống từ xa để đăng nội dung lên trang web của bạn, bạn sẽ cần bật tính năng này.
Không phải ai cũng cần XMLRPC trong WordPress. Trên thực tế, rất nhiều bạn có thể không bao giờ sử dụng tính năng này. Nếu bạn lo lắng về các vấn đề bảo mật, thì bạn nên tắt tính năng này cho đến khi bạn thực sự cần nó.

Để nhận được bài viết mới vui lòng đăng ký kênh kiến thức WordPress từ A-Z ở Form bên dưới. Bạn cũng có thể nhận được sự trợ giúp trên Twitter và Facebook