8

Уязвимость xmlrpc php на сайте WordPress

Всем привет! Пока изучал, как почистить сайт от ненужного мусора, постоянно сталкивался с описанием уязвимости xmlrpc php на WordPress сайтах. Изучив вопрос более досконально, узнал, что данной дырой, часто пользуются злоумышленники для взлома сайта.

Что такое XML-RPC .

Uyazvimost-xmlrpc-php-na-sayteЭто АPI интерфейс с помощью которого можно дистанционно управлять сайтом, при помощи разного рода приложений сторонних разработчиков. Например можно удаленно изменять записи, вносить поправки в настройки сайта и другое. и судя по описанию владельцев сайтов, данная “калитка” для входа на ваш сайт дырявая и плохо закрыта. Я пока, не собираюсь управлять своим блогом удаленно. Значит файл xmlrpc php мне не нужен, тем более такой уязвимый. Решено, отключаем.

Как выключить XML-RPC .

Надо выполнить совсем не много простых манипуляций и вы навсегда забудете о данной проблеме. Ленивые, новички и боящиеся кода как огня, могут воспользоваться специальным плагином «Disable XML-RPC», который без труда отключает данный файл. Тем кто не боится ковыряться в коде сайта, прямая дорога на файл функций functions.php .

Вставляете в самом конце файла, непосредственно перед знаком ?> следующий код:

Далее заходите в файл “header.php” и ищете следующую строчку:

Удалите ее.

В самом конце файла «.htaccess»  вставьте  следующий код:

Таким образом, мы запретили доступ к файлу xmlrpc php. Также мы дополнительно избавились от лишнего кода, которого в достатке на WordPress. Всем удачи!

комментариев 8
  1. admin
    30.12.2017 в 01:00

    Пожалуйста, применяйте. Я не сторонник активного использования плагинов, но когда оправдано и есть необходимость, никуда не денешься!

  2. Александр
    30.12.2017 в 00:06

    Спасибо за плагин Disable XML-RPC. Не новичок, но предпочитаю идти по пути меньшего сопротивления.

  3. admin
    25.12.2017 в 16:51

    Если у вас тема WordPress, то такая строчка в коде есть. Проверил на пяти шаблонах. Данный код заключен между открывающим и закрывающим тегами head. Попробуйте перейти в файл “header.php” (не путайте с "functions.php"), нажмите комбинацию клавиш Ctrl + F и в поисковой строке введите link rel="pingback" должна подсветится искомая строка. В крайнем случае можно воспользоваться специальным плагином.Удачи

  4. Fi
    25.12.2017 в 01:57

    Автор железобетонно убеждён, что у всех одинаковые коды. Но такого <link rel="pingback" href="” /> у меня нет…

  5. admin
    14.01.2017 в 22:59

    Не стоит благодарности. Удачи!

  6. Николай
    14.01.2017 в 21:14

    Спасибо большое все получилось, поменял на свою ссылку!

  7. admin
    14.01.2017 в 20:20

    Николай, рад был вам помочь. Внешняя ссылка разработчиков шаблона, обычно находится в подвале сайта, в файле footer.php. Через админку сайта зайдите “Внешний вид”-“Редактор”-footer.php. Ищите ссылку по тексту. Иногда ссылки бывают установлены очень хитро и при попытке удалить, перестает работать сайт. В любом случае, перед внесением изменений в коде, предварительно сделайте резервную копию сайта.Удачи!

  8. Николай
    14.01.2017 в 17:08

    Огромное вам спасибо с XML-RPC справился, вроде все получилось нормально! Отключил и боятся не буду что мой блог взломают! У меня к вам вопрос не по теме, я новичок и много информации черпаю с вашего блога, я поставил новый шаблон и не знаю в каком файле искать информацию, чтобы отключить ссылку на автора шаблона! Я очень надеюсь на вашу помощь! С уважением Николай!

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.