Tìm kiếm một WordPress vô hiệu hóa plugin XMLRPC? Hoặc, có lẽ bạn muốn vô hiệu hóa XMLRPC theo cách thủ công thông qua một đoạn mã ngắn? Không cần tìm đâu xa vì trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách tắt XMLRPC bằng cả hai phương pháp.
Nhưng trước khi đi sâu vào các bước cho cả hai phương pháp, chúng tôi sẽ cố gắng giải quyết một số câu hỏi cơ bản mà bạn có thể đang nghĩ đến, chẳng hạn như:
- XMLRPC có mối đe dọa bảo mật lớn đến mức nào?
- Tại sao nó tồn tại ở nơi đầu tiên?
- Vô hiệu hóa XMLRPC có đủ không?
Hãy yên tâm, chúng tôi sẽ trả lời tất cả các câu hỏi nhức nhối của bạn. Bây giờ, chúng ta hãy bắt đầu. Đây là những gì chúng tôi sẽ đề cập:
📚 Mục lục:
Khi nào không tắt XMLRPC?
XMLRPC được phát triển để cho phép WordPress giao tiếp với các hệ thống khác. Ví dụ: sử dụng ứng dụng WordPress trên điện thoại di động của bạn yêu cầu XMLRPC.
Ngày nay, bạn không thực sự cần XMLRPC vì API REST hiện đang truyền dữ liệu giữa WordPress và các hệ thống khác.
Điều đó nói rằng, XMLRPC vẫn được bao gồm trong một WordPress cài đặt vì khả năng tương thích ngược. Tất cả chúng ta đều biết rằng việc cập nhật trang web của bạn là vô cùng quan trọng, nhưng có những trường hợp chủ sở hữu trang web quyết định giữ lại các bản cập nhật. Và nếu trang web của họ đang chạy trên phiên bản có trước REST API, thì tốt hơn hết bạn nên bật tệp XMLRPC.
Tuy nhiên, như bạn có thể đã biết, nhược điểm lớn nhất của việc giữ cho tệp XMLRPC được bật là nó được biết là giới thiệu các lỗ hổng cho một trang web WordPress. Do đó, chúng tôi thực sự khuyên bạn nên cài đặt một Plugin bảo mật WordPress trên trang web của bạn để ngăn chặn tin tặc.
Bạn có thể muốn giữ tệp PHP (tức là XMLRPC.php) khi bạn đang sử dụng một ứng dụng không thể truy cập REST API nhưng có thể truy cập XMLRPC. Trong trường hợp cụ thể này, XMLRPC chỉ là một giải pháp tạm thời và chúng tôi thực sự khuyên bạn nên tìm một ứng dụng tương thích với REST API.
Bây giờ bạn đã biết khi nào không nên vô hiệu hóa XMLRPC, hãy xem xét tất cả các lý do hợp lệ tại sao bạn nên vô hiệu hóa tệp PHP:
Lý do phổ biến để vô hiệu hóa tệp XMLRPC là nó làm cho trang web của bạn dễ bị tấn công hack, như DDoS và tấn công vũ phu. Tệp PHP cũng có xu hướng sử dụng nhiều tài nguyên máy chủ của bạn, làm cho trang web của bạn siêu chậm.
Một số plugin, như Jetpack, được biết là có vấn đề với XMLRPC.
Vì vậy, nếu bạn muốn vô hiệu hóa tệp XMLRPC, hãy làm theo các bước dưới đây.
Cách tắt XMLRPC
Có hai cách để vô hiệu hóa tệp XMLRPC. Bạn có thể làm điều đó bằng cách sử dụng một plugin hoặc thủ công. Chúng tôi đề cập đến cả hai phương pháp dưới đây. Hãy đi sâu vào…
Quan trọng – Trước khi bạn tiếp tục, hãy thực hiện một sao lưu toàn bộ trang web của bạn. Để làm theo hướng dẫn này, bạn cần cài đặt một plugin hoặc sửa đổi các tệp WordPress của mình. Các trang web thường được biết là bị hỏng khi một plugin mới được cài đặt và việc sửa đổi các tệp là một công việc rủi ro. Sao lưu là một mạng lưới an toàn mà bạn có thể quay trở lại trong những trường hợp không may. Vì vậy, hãy đảm bảo rằng bạn đang sao lưu trước khi tiếp tục.
WordPress vô hiệu hóa XMLRPC với một plugin
Có rất nhiều plugin sẽ vô hiệu hóa XMLRPC trên trang web WordPress của bạn. Trong hướng dẫn này, chúng ta sẽ sử dụng cái phổ biến nhất: Vô hiệu hóa XML-RPC. Nếu bạn không thể sử dụng nó, thì bạn có thể thử một trong các lựa chọn thay thế sau:
Mẹo chuyên nghiệp: Bạn đã cài đặt plugin bảo mật trên trang web của mình chưa? Sau đó, hỏi xem bạn có thể tắt XMLRPC bằng cách sử dụng plugin bảo mật đó hay không. Ví dụ, iThemes có thể vô hiệu hóa XMLRPC chỉ bằng một nút bấm.
Bây giờ, hãy tắt XMLRPC bằng cách sử dụng plugin Disable XML-RPC.
Tải xuống và cài đặt Vô hiệu hóa XML-RPC plugin trên trang web WordPress của bạn. Và đó là nó. Plugin sẽ tự động vô hiệu hóa tệp PHP mà bạn không cần phải giơ ngón tay lên.
Sử dụng plugin là một cách tuyệt vời để giải quyết các vấn đề trên trang web WordPress, nhưng có một nhược điểm của việc cài đặt plugin. Nó tiêu tốn rất nhiều tài nguyên máy chủ của bạn. Đó là lý do tại sao cách thủ công có thể thích hợp hơn với nhiều chủ sở hữu trang web.
WordPress vô hiệu hóa XMLRPC theo cách thủ công
Có ba cách để vô hiệu hóa XMLRPC theo cách thủ công. Bạn có thể làm điều đó bằng cách sử dụng bộ lọc hoặc bằng cách sửa đổi các tệp cấu hình .htaccess hoặc Ngnix. Hãy thử tất cả chúng.
Vô hiệu hóa bằng cách sử dụng .httruy cập tập tin
Để chỉnh sửa tệp .htaccess, bạn sẽ cần mở tài khoản lưu trữ của mình, đi tới Trình quản lý tệp cPanel → → public_html → .htaccess. Chỉ cần nhấp chuột phải và chọn Biên tập trên tệp .htaccess. Tiếp theo, chèn mã sau vào cuối tệp:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Đừng quên nhấn lưu trước khi đóng cửa sổ hoặc tab.
Lưu ý bên lề: Nếu bạn chưa bao giờ xử lý phần phụ trợ của trang web WordPress của mình, thì việc chỉnh sửa tệp .htacess sẽ là một nhiệm vụ khó khăn. Chúng tôi khuyên bạn nên tìm hiểu thêm về các chức năng và tầm quan trọng của tệp và sau đó thử các phương pháp khác nhau để chỉnh sửa tệp .htaccess.
Vô hiệu hóa bằng cách sử dụng tệp cấu hình Ngnix
Trước khi chúng tôi chỉ cho bạn các bước, đây là tuyên bố từ chối trách nhiệm. Phương pháp cụ thể này chỉ có hiệu quả nếu trang web của bạn được lưu trữ trên máy chủ Nginx.
Bạn không chắc liệu trang web của mình có được lưu trữ trên Nginx hay không? Đây là cách bạn có thể tìm hiểu:
1. Nhấp chuột phải vào bất kỳ đâu trên trang web của bạn và sau đó chọn Kiểm tra.
2. Đi tới Mạng lưới và bạn sẽ được yêu cầu tải lại trang web. Tiếp theo, chọn Tất cả.
3. Một danh sách dữ liệu xuất hiện trong một phần được gọi là Tên. Bấm trên bất kỳ dữ liệu nào và trên bảng điều khiển bên, hãy chuyển đến Tiêu đề và cuộn xuống. Bạn sẽ thấy tên máy chủ của bạn.
Nếu trang web của bạn được lưu trữ trên Ngnix, thì hãy chuyển sang bước tiếp theo.
Mở file cấu hình Nginx và chèn đoạn code sau vào file:
location ~* ^/xmlrpc.php$ {
return 403;
}
Sau khi lưu cài đặt, nếu bạn mở tệp XMLRPC từ giao diện người dùng của trang web, nó sẽ ném một Lỗi 403. Xem cho chính mình. Chỉ cần thêm / xmprpc.php (https://yourwebsite.com/xmlrpc.php) vào cuối trang web của bạn và nhấn enter.
Tắt sử dụng bộ lọc
Bạn có thể vô hiệu hóa tệp XMLRPC bằng cách viết một plugin và sau đó thêm bộ lọc sau vào plugin và đảm bảo rằng plugin được cài đặt và kích hoạt trên trang web của bạn.
add_filter( 'xmlrpc_enabled', '__return_false' );
Như bạn có thể hiểu, tùy chọn cụ thể này là lý tưởng cho các nhà phát triển. Đối với những người có khả năng kỹ thuật thông thường, chúng tôi đề xuất các tùy chọn tệp config hoặc .htaccess.
Không có gì làm việc?
Nếu bạn đã thử các bước chúng tôi đã chỉ ra trong bài viết này nhưng không thể đạt được kết quả mong muốn, thì hãy nói chuyện với nhà cung cấp dịch vụ lưu trữ của bạn. Họ sẽ có thể cho bạn biết điều gì đang xảy ra và cách tắt XMLRPC trên trang web WordPress của bạn.
Kết thúc
Vô hiệu hóa XMLRPC sẽ đảm bảo rằng trang web của bạn được bảo mật khỏi một số loại tấn công hack nhất định, như DDoS và các cuộc tấn công vũ phu. Nhưng có rất nhiều cách khác để xâm nhập trang web của bạn, vì vậy chúng tôi khuyên bạn nên làm theo hướng dẫn của chúng tôi về Bảo mật WordPress để đảm bảo bảo vệ hoàn toàn trang web WordPress của bạn.
Đó là tất cả cho điều này, các bạn! Bạn có thể vô hiệu hóa XMLRPC trên WordPress không? Hãy cho chúng tôi biết trong các ý kiến dưới đây.