Всем привет! Пока изучал, как почистить сайт от ненужного мусора, постоянно сталкивался с описанием уязвимости xmlrpc php на WordPress сайтах. Изучив вопрос более досконально, узнал, что данной дырой, часто пользуются злоумышленники для взлома сайта.
Что такое XML-RPC .
Это АPI интерфейс с помощью которого можно дистанционно управлять сайтом, при помощи разного рода приложений сторонних разработчиков. Например можно удаленно изменять записи, вносить поправки в настройки сайта и другое. и судя по описанию владельцев сайтов, данная “калитка” для входа на ваш сайт дырявая и плохо закрыта. Я пока, не собираюсь управлять своим блогом удаленно. Значит файл xmlrpc php мне не нужен, тем более такой уязвимый. Решено, отключаем.
Как выключить XML-RPC .
Надо выполнить совсем не много простых манипуляций и вы навсегда забудете о данной проблеме. Ленивые, новички и боящиеся кода как огня, могут воспользоваться специальным плагином «Disable XML-RPC», который без труда отключает данный файл. Тем кто не боится ковыряться в коде сайта, прямая дорога на файл функций functions.php .
Вставляете в самом конце файла, непосредственно перед знаком ?> следующий код:
// отключаем xmlrpc.php
add_filter('xmlrpc_enabled', '__return_false');
remove_action( 'wp_head', 'rsd_link' );
Далее заходите в файл “header.php” и ищете следующую строчку:
<link rel="pingback" href="<?php bloginfo('pingback_url'); ?>" /> Удалите ее.
В самом конце файла «.htaccess» вставьте следующий код:
<Files xmlrpc.php> order deny,allow deny from all </Files>
Таким образом, мы запретили доступ к файлу xmlrpc php. Также мы дополнительно избавились от лишнего кода, которого в достатке на WordPress. Всем удачи!
Пожалуйста, применяйте. Я не сторонник активного использования плагинов, но когда оправдано и есть необходимость, никуда не денешься!
Спасибо за плагин Disable XML-RPC. Не новичок, но предпочитаю идти по пути меньшего сопротивления.
Если у вас тема WordPress, то такая строчка в коде есть. Проверил на пяти шаблонах. Данный код заключен между открывающим и закрывающим тегами head. Попробуйте перейти в файл
“header.php”(не путайте с"functions.php"), нажмите комбинацию клавишCtrl + Fи в поисковой строке введитеlink rel="pingback"должна подсветится искомая строка. В крайнем случае можно воспользоваться специальным плагином.УдачиАвтор железобетонно убеждён, что у всех одинаковые коды. Но такого <link rel="pingback" href="» /> у меня нет…
Не стоит благодарности. Удачи!
Спасибо большое все получилось, поменял на свою ссылку!
Николай, рад был вам помочь. Внешняя ссылка разработчиков шаблона, обычно находится в подвале сайта, в файле footer.php. Через админку сайта зайдите «Внешний вид»-«Редактор»-footer.php. Ищите ссылку по тексту. Иногда ссылки бывают установлены очень хитро и при попытке удалить, перестает работать сайт. В любом случае, перед внесением изменений в коде, предварительно сделайте резервную копию сайта.Удачи!
Огромное вам спасибо с XML-RPC справился, вроде все получилось нормально! Отключил и боятся не буду что мой блог взломают! У меня к вам вопрос не по теме, я новичок и много информации черпаю с вашего блога, я поставил новый шаблон и не знаю в каком файле искать информацию, чтобы отключить ссылку на автора шаблона! Я очень надеюсь на вашу помощь! С уважением Николай!