Hướng dẫn vô hiệu file xmlrpc.php

Xmlrpc.php là gì?

XML-RPC là tính năng của WordPress để giúp truyền tải dữ liệu, với HTTP làm công cụ truyền và XML làm công cụ encode (mã hóa). Vì WordPress không phải là hệ thống đóng hoàn toàn nên tính năng này được tạo ra để khi WordPress cần giao tiếp với các hệ thống bên ngoài.

Ví dụ, bạn muốn đăng bài viết lên site từ điện thoại và không có máy tính bên cạnh. Bạn có thể dùng tính năng truy cập từ xa được kích hoạt bởi xmlrpc.php để đăng bài.

Chức năng chính mà xmlrpc.php kích hoạt là cho phép giao tiếp giữa điện thoại và site của bạn được thiết lập, thiết lập trackback và pingbacks từ các site khác, và một số tính năng liên kết với plugin Jetpac.

Tại sao bạn nên vô hiệu WordPress Xmlrpc.php

Vấn đề lớn nhất của XML-RPC là bảo mật. Chúng không tới từ bản thân XML-RPC, mà từ file xmlrpc.php bị dùng làm phương pháp tấn công brute force lên chính bản thân website chứa nó.

Dĩ nhiên, bạn có thể tự bảo vệ bằng cách tạo một mật khẩu cực mạnh, và dùng thêm plugin WordPress bảo mật. Nhưng cách tốt nhất là cứ vô hiệu hẵn nó đi.

Có 2 yếu điểm của xmlrpc mà bị lạm dụng trước đây.

Đầu tiên là dùng brute force attack để tấn công hoàn toàn vào website. Một hacker sẽ thử truy cập website của bạn bằng cách tận dung file xmlrpc.php để truy cập bằng nhiều tổ hợp đã được biết đến của username và password.  Chỉ cần một command là có thể chạy tự động hằng trăm password khác nhau để thử truy cập. Việc này bypass được các công cụ bảo mật vì các công cụ này không bảo vệ được nếu tấn công qua được xmlrpc.

Cách thứ 2 là tấn công DDoS vào website khiến nó bị down. Hackers có thể sử dụng tính năng pingback trong WordPress để gửi pingbacks tới hàng ngàn sites cùng lúc. Xmlrpc.php mở đường cho hacker phát tán việc tấn công DDoS bằng việc hỗ trợ gần như không giới hạn số IP address

Để kiểm tra xem XML-RPC có đang chạy không, bạn có thể dùng tool XML-RPC Validator để chạy thử. Nếu site có thể vận hành được và nếu thấy báo lỗi có nghĩa là site của bạn chưa kích hoạt XML-RPC.

Cách vô hiệu Xmlrpc.php

Cách 1: Vô hiệu bằng Plugin

Vô hiệu XML-RPC trên WordPress rất đơn giản.

Bạn chỉ cần chuyển tới mục Plugins › Add New trong WordPress dashboard. Tìm plugin Disable XML-RPC và cài đặt plugin như bên dưới:

Kích hoạt plugin này là được. Plugin sẽ tự động chạy code cần thiết để tắt XML-RPC.

Tuy nhiên, có thể có nhiều plugin khác đang dùng một yếu tố của XML-RPC, vì vậy, vô hiệu nó hoàn toàn có thể gây lỗi xung đột plugin và khiến site không hoạt động.

Nếu bạn chỉ muốn tắt từng phần của XML-RPC, nhưng vẫn cho phép plugin và chức năng nào chạy, hãy cài những plugin khác như bên dưới:

  • Stop XML-RPC Attack. Plugin này sẽ chặn mọi tấn công bằng XML-RPC, nhưng nó vẫn cho phép các plugin như Jetpack, và nhiều công cụ tự động khác truy cập vào file xmlrpc.php.
  • Control XML-RPC Publishing. Cho phép kiểm soát và sử dụng công cụ6 xuất bản từ xa bằng xmlrpc.php.

Cách 2: Vô hiệu hóa bằng file .htaccess

Dán đoạn code sau vào file .htaccess ở thư mục gốc của website

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Cách 3: Vô hiệu hóa bằng file  functions.php

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

 

Leave a comment

Your email address will not be published. Required fields are marked *