XML-RPC — это протокол удалённого взаимодействия, который долгое время был неотъемлемой частью WordPress. Он позволяет сторонним приложениям общаться с сайтом, отправляя XML-запросы через HTTP. Изначально XML-RPC был полезным, однако сегодня он всё чаще используется злоумышленниками и становится угрозой безопасности.
Изначально XML-RPC предназначался для следующих задач:
В период, когда REST API ещё не существовало, этот протокол был единственным удобным способом управлять сайтом удалённо. Разработчики активно использовали его для автоматизации публикаций, синхронизации контента между несколькими платформами и настройки интеграций. Именно поэтому он долго оставался включённым по умолчанию в каждой установке WordPress.
Несмотря на полезные возможности, XML-RPC сегодня представляет серьёзные риски:
Используя метод multicall, злоумышленники могут в одном запросе совершать множество попыток подбора пароля, ускоряя процесс взлома. Стандартная защита от перебора паролей при этом не срабатывает, потому что технически сервер получает один запрос, а не сотни отдельных. Это делает атаку незаметной для большинства стандартных средств мониторинга. По данным OWASP, брутфорс через открытые интерфейсы остаётся одним из самых распространённых векторов атак на веб-приложения.
XML-RPC используется для отражённых атак типа pingback, превращая сайт в инструмент для DDoS на другие ресурсы. Ваш сервер при этом рассылает большое количество запросов на сторонние сайты, не зная об этом. В итоге страдает не только жертва атаки, но и ваш хостинг: растёт расход трафика, снижается скорость работы, а хостинг-провайдер может заблокировать аккаунт за нарушение правил использования. Подробнее о механизме pingback-атак рассказывает Wordfence.
Pingback-уведомления всё чаще используются для массовой рассылки спама на сайты. Владелец сайта получает сотни ложных уведомлений о ссылках, которых не существует. Это засоряет базу данных, перегружает сервер и создаёт лишний шум в административной панели.
Проверить подозрительную активность можно через логи сервера. Если в них часто мелькают POST-запросы к файлу xmlrpc.php с разных IP-адресов, это прямой сигнал к действию. Такие запросы легко фильтруются в панели управления хостингом или через специализированные плагины безопасности.
Отключив XML-RPC, вы получите:
Плагины безопасности, такие как BotBlocker, позволяют отключить XML-RPC одним нажатием. Это самый простой способ для тех, кто не хочет редактировать файлы сайта вручную. Плагин берёт на себя всю техническую работу и дополнительно ведёт журнал заблокированных попыток доступа.
Добавьте в файл .htaccess:
# Блокировка XML-RPC
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Этот метод работает на уровне сервера Apache и блокирует любые запросы к файлу ещё до того, как WordPress их обработает. Это снижает нагрузку на сайт сильнее, чем программное отключение через PHP.
Добавьте код в functions.php вашей темы:
add_filter('xmlrpc_enabled', '__return_false');
Этот способ подходит для тех, кто работает с дочерней темой. Важно добавлять код именно туда, иначе при обновлении темы изменения сотрутся. Если дочерней темы нет, лучше воспользоваться плагином или методом через .htaccess.
Как правило, нет. Однако стоит учитывать:
Большинство современных инструментов для работы с WordPress уже давно перешли на REST API. Официальное мобильное приложение WordPress, начиная с определённых версий, также поддерживает REST API как основной способ взаимодействия с сайтом. Поэтому для среднестатистического сайта полное отключение протокола не создаст никаких неудобств. Если вы не уверены, проверьте список активных плагинов и интеграций до того, как вносить изменения.
Оптимальным решением будет разрешить доступ XML-RPC лишь определённым IP-адресам или приложениям через правила безопасности. В Pro-версии плагина BotBlocker это реализовано максимально удобно. Вы можете задать белый список адресов, которым разрешён доступ, и при этом заблокировать всех остальных. Такой подход сохраняет нужные интеграции и закрывает протокол от посторонних. По рекомендациям официальной документации WordPress, ограничение доступа к системным файлам и точкам входа — одна из базовых мер защиты сайта.