264
WordPress XML-RPC: Maximální flexibilita a bezproblémová integrace. To však také způsobuje zvýšenou zranitelnost vůči bezpečnostním chybám.
xmlrpc.php – jednoduše vysvětleno
XML-RPC je zkratka pro „Extensible Markup Language Remote Procedure Call“ (vzdálené volání procedur v rozšiřitelném značkovacím jazyce).
- Jedná se o specifikaci protokolu, který umožňuje přenos vzdálených požadavků v počítačových sítích.
- Často se používá externími aplikacemi nebo službami k interakci se serverem WordPress, aniž by bylo nutné přistupovat přímo k rozhraní správce WordPress.
- Používání XML-RPC vyžaduje ověření, obvykle pomocí uživatelského jména a hesla nebo pomocí tokenu.
- Ve starších verzích systému WordPress bylo toto rozhraní vypnuto.
- Od verze WordPress 3.5 je XML-RPC ve výchozím nastavení povoleno, aby mobilní aplikace mohla komunikovat s instalací WordPress.
xmlrpc.php – Zabezpečení
XML-RPC může být užitečné i potenciálně rizikové. Umožňuje automatizaci úloh a integrací, ale může také otevírat bezpečnostní zranitelnosti.
- Po zavedení rozhraní REST API v jádře systému WordPress již není XML-RPC pro účely komunikace zapotřebí
- Z bezpečnostních důvodů se proto doporučuje vypnout XML-RPC.
- Rozsah systémů, se kterými může rozhraní REST API komunikovat, je také mnohem širší než v případě XML-RPC.
xmlrpc.php – Zakázat
Vzhledem k nahrazení XML-RPC rozhraním REST API doporučujeme na vašich webových stránkách zakázat xmlrpc.php.
- Chcete-li rozhraní zakázat v kódu, přidejte do souboru .htaccess následující kód:
- Příkaz Allow,Deny ().
- Zakázat od všechAlternativně můžete minimalizovat bezpečnostní riziko pomocí pluginu WordPressZakázat XML-RPC Pingback.
- V některých případech může poskytovatel hostingu také zakázat XML-RPC.
