Что такое XML-RPC в WordPress и почему его стоит отключить?

XML-RPC — это протокол удалённого взаимодействия, который долгое время был неотъемлемой частью WordPress. Он позволяет сторонним приложениям общаться с сайтом, отправляя XML-запросы через HTTP. Изначально XML-RPC был полезным, однако сегодня он всё чаще используется злоумышленниками и становится угрозой безопасности.

Зачем нужен XML-RPC в WordPress?

Изначально XML-RPC предназначался для следующих задач:

• Публикация постов и управление сайтом через сторонние приложения.
• Обработка pingback и trackback уведомлений.
• Интеграция Jetpack и мобильных приложений WordPress.

Чем опасен XML-RPC?

Несмотря на полезные возможности, XML-RPC сегодня представляет серьёзные риски:

1. Брутфорс-атаки

Используя метод multicall, злоумышленники могут в одном запросе совершать множество попыток подбора пароля, ускоряя процесс взлома.

2. DDoS-атаки

XML-RPC используется для отражённых атак типа pingback, превращая сайт в инструмент для DDoS на другие ресурсы.

3. Спам через pingback

Pingback-уведомления всё чаще используются для массовой рассылки спама на сайты.

Как понять, что XML-RPC используется злоумышленниками?

• Большое количество неудачных попыток входа.
• Высокая нагрузка на сервер и расход трафика.
• Поток спам-комментариев через pingback.
• Замедление работы сайта.

Что даст отключение XML-RPC?

Отключив XML-RPC, вы получите:

• Снижение рисков: Закрытие популярной уязвимости для атак.
• Повышение производительности: Экономия ресурсов сервера, ускорение загрузки сайта.
• Сокращение спама: Снижение количества нежелательных уведомлений и комментариев.

Как правильно отключить XML-RPC в WordPress?

Метод 1: Использование плагина защиты

Плагины безопасности, такие как BotBlocker, позволяют отключить XML-RPC одним нажатием.

Метод 2: Отключение через .htaccess

Добавьте в файл .htaccess:

# Блокировка XML-RPC
<Files xmlrpc.php>
  order deny,allow
  deny from all
</Files>

Метод 3: Через functions.php

Добавьте код в functions.php вашей темы:

add_filter('xmlrpc_enabled', '__return_false');

Может ли отключение XML-RPC навредить сайту?

Как правило, нет. Однако стоит учитывать:

• Jetpack и мобильные приложения WordPress зависят от XML-RPC.
• Если используете эти сервисы, лучше применить выборочное отключение.

Рекомендуемый подход: выборочное отключение

Оптимальным решением будет разрешить доступ XML-RPC лишь определённым IP-адресам или приложениям через правила безопасности. В Pro-версии плагина BotBlocker это реализовано максимально удобно.

Заключение: правильное управление XML-RPC — залог безопасности сайта

Сегодня риски XML-RPC превышают преимущества. Отключение или ограничение доступа к нему защитит ваш WordPress сайт от современных угроз.

Защитите свой сайт с помощью BotBlocker

Внутренние ссылки (RU):

• Полный список возможностей BotBlocker
• Как снизить нагрузку на сервер с BotBlocker

Внешние ссылки (RU):

• Документация XML-RPC от WordPress