Na początku WordPressa istniały funkcje umożliwiające zdalną interakcję z witryną. Te same cechy umożliwiły zbudowanie społeczności, umożliwiając dostęp innym blogerom Twój blog. Głównym narzędziem wykorzystywanym w tym celu jest „ XML-RPC ".
« XML-RPC "Lub" Zdalne wywołanie procedury XML Daje wielką moc WordPressowi:
- Łączenie z witryną za pomocą smartfona
- TrackBack i Pingback włączone Twój blog
- Zaawansowane użycie Jetpack
Ale jest problem z „ XML-RPC ”, które musisz rozwiązać, aby zachować bezpieczeństwo swojego blog WordPress.
Jak XML-RPC jest używany w WordPress
Wróćmy na początku blogowania "(dobrze przed WordPressem), większość autorów korzysta z Internetu dial-up Przeglądać sieć. Trudno było pisać artykuły i wysyłać je online. Rozwiązaniem było zapisywanie na komputerze w trybie offline i „ kopiuj / wklej Twój artykuł Dla osób, które stosowały tę metodę, było to szczególnie trudne, ponieważ ich tekst często zawierał obce kody, nawet jeśli dokument został zapisany w formacie HTML.
Blogger utworzył interfejs programowania aplikacji (API), aby umożliwić innym programistom dostęp do blogów Bloggera. Wystarczyło podać nazwę strony internetowej, która umożliwiała użytkownikom tworzenie artykułów offline, a następnie łączenie się z API Bloggera poprzez XML-RPC. Inne systemy blogowe poszły w ich ślady i ostatecznie powstał MetaWeblogAPI, który domyślnie ujednolicił dostęp.
Po dziesięciu latach większość naszych aplikacji znajduje się na naszych telefonach i tabletach. Jedną z rzeczy, które ludzie lubią robić ze swoimi telefonami, jest publikowanie na nich blog WordPress. W latach 2008-09 firma Automattic została zmuszona do stworzenia aplikacji WordPress dla niemal każdego mobilnego systemu operacyjnego (ten sam Blackberry i Windows Mobile).
Te aplikacje zezwalały, za pośrednictwem interfejsu XML-RPC, na używanie poświadczeń WordPress.com do łączenia się z witryną WordPress, w której masz określone prawa dostępu.
Dlaczego powinniśmy zapomnieć o XML-RPC?
Zgodność z XML-RPC Jest częścią WordPressa od pierwszego dnia. WordPress 2.6 został wydany 15 lipca 2008 r., A aktywacja „ XML-RPC Został dodany do ustawień WordPress i domyślnie „ poza ".
Tydzień później została wydana wersja WordPress na iPhone'a, a użytkownicy zostali poproszeni o aktywację tej funkcji. Cztery lata po tym, jak aplikacja na iPhone'a dołączyła do rodziny, WordPress 3.5 aktywował funkcję „ XML-RPC ".
Główne słabości związane z XML-RPC to:
- Ataki siłowe: hakerzy próbują zalogować się do WordPressa za pomocą xmlrpc.php z tyloma kombinacjami nazwy użytkownika i hasła. Nie ma ograniczeń próbnych. Metoda w xmlrpc.php umożliwia atakującemu użycie pojedynczego polecenia (system.multicall), aby odgadnąć setki haseł.
- Ataki typu „odmowa usługi” za pośrednictwem Pingback
Wygoda a zabezpieczenia WordPress
A więc znów zaczynamy. Współczesny świat jest głęboko nudny dzięki swoim kompromisom.
Jeśli chcesz mieć pewność, że nikt nie wniesie bomby na twoją łódź, po prostu przepuść ją przez wykrywacze metali. Jeśli chcesz zabezpieczyć swój samochód podczas zakupów, zamknij drzwi i okna. Nie możesz po prostu polegać na haśle witryny, aby go chronić (czy szyby samochodowe zapewniają wystarczającą ochronę?), szczególnie jeśli używasz Jetpack lub aplikacji mobilnych.
Jak wyłączyć XML-RPC w WordPress
Stałeś się więc zależny od wszystkich tych narzędzi, które z kolei są zależne od XML-RPC. Rozumiem, że tak naprawdę nie chcesz wyłączać „XML-RPC” nawet na chwilę.
Jednak oto kilka wtyczek, które pomogą Ci to zrobić:
- Zatrzymaj atak XML-RPC : zezwala tylko Jetpack i innym narzędziom Automattic na dostęp do xmlrpc.php przez .htaccess.
- Sterowanie publikowaniem XML-RPC: po prostu przywraca starą opcję zdalnego publikowania z powrotem do opcji zapisu.
- iThemes Security, Zabezpieczenie przed złośliwym oprogramowaniem i Brute-Force Firewall et Wszystko w jednym WP Security & FirewallTe narzędzia bezpieczeństwa ogólnego przeznaczenia obejmują ochronę przed brutalną siłą w darmowych wersjach. Obserwują powtarzające się próby logowania z plikiem xmlrpc.php lub bez niego i chronią Cię przed zapytaniami, które próbują uszkodzić Twoją witrynę.
REST (i OAuth) na ratunek
Teraz możesz wiedzieć, że programiści WordPress zwracają się do rozwiązania REST. Deweloperzy z zespołu REST API mieli kilka problemów, przygotowując się, w tym z monetą uwierzytelniającą, która ma naprawić problem XML-RPC. Kiedy zostanie to ostatecznie zaimplementowane (obecnie zaplanowane dla WordPress 4.7 na końcu 2016), nie będziesz musiał używać XML-RPC do łączenia się z oprogramowaniem takim jak JetPack.
Zamiast tego uwierzytelnisz się za pomocą protokołu OAuth. Jeśli nie wiesz, co to jest protokół OAuth, pamiętaj, co się dzieje, gdy witryna poprosi Cię o zalogowanie się za pomocą Google, Facebook, a nawet Twittera. Zasadniczo na tych platformach stosuje się protokół OAuth.
Test API REST WordPress
Jak powiedziałem wcześniej, API REST nie jest jeszcze zintegrowane z rdzeniem WordPress i nie będzie dostępne przez wiele miesięcy. Już dziś możesz rozpocząć testowanie go na swoich środowiskach testowych:
Rest API z pewnością będzie przyszłością WordPressa. Napisaliśmy już kilka samouczków na temat tego ostatniego, które dają pomysły, jak zacząć go wdrażać:
- Jak się dowiedzieć, kiedy używać interfejsu API Rest
- Jak korzystać z Rest API
- 7 skutecznych implementacji Rest API
- Jak korzystać z interfejsu API HTTP WordPress
To wszystko w tym samouczku. Mam nadzieję, że będziesz lepiej poinformowany o zagrożeniach związanych z używaniem XML-RPC. Nie wahaj się zadawać nam pytań w forma uwagi.
