Tingkatkan Keamanan Hosting Untuk Situs WordPress Secara Otomatis Dengan Alat XML-RPC Blok Baru

Diterbitkan: 2024-02-13

Jika menawarkan kepada klien Anda keamanan hosting yang tidak dapat ditembus untuk situs WordPress mereka tanpa perlu bersusah payah terdengar hebat, Anda akan menyukai Block XML-RPC … senjata terbaru kami melawan serangan XML-RPC!

Blok XML-RPC WPMU DEV
Blokir XML-RPC… cari tahu apa artinya bagi saya!

Sejak awal, WordPress telah memungkinkan pengguna untuk berinteraksi dari jarak jauh dengan situs mereka menggunakan fitur bawaan yang disebut XML-RPC. Ini tidak hanya bagus bagi pengguna ponsel cerdas yang ingin membuat blog saat bepergian… tetapi juga bagi para peretas!

Pada artikel ini, kami akan membahas semua yang perlu Anda ketahui tentang XML-RPC dan menunjukkan cara melindungi situs WordPress yang dihosting dengan WPMU DEV dengan mudah dan otomatis dari peretas yang mengeksploitasi kerentanan XML-RPC menggunakan alat keamanan hosting terbaru kami.

Kami juga akan menunjukkan cara melindungi situs WordPress yang dihosting di tempat lain.

Baca terus atau klik tautan di bawah untuk melewati dasar-dasarnya dan mendapatkan hal-hal bagus:

Dasar:

  • Apa itu XML-RPC?
  • Untuk Apa XML-RPC Digunakan?
  • XML-RPC dan Keamanan WordPress

Hal yang Baik:

  • Otomatiskan Keamanan Hosting Anda dengan Alat Blok XML-RPC WPMU DEV
  • Tidak Dihosting dengan WPMU DEV? Kami Siap Membantu Anda

Mari langsung masuk…

Apa itu XML-RPC?

XML-RPC adalah protokol panggilan prosedur jarak jauh (RPC) yang menggunakan XML untuk menyandikan panggilannya dan HTTP sebagai mekanisme transportasi.

Secara sederhana dan praktis, XML-RPC digunakan untuk memungkinkan aplikasi eksternal berinteraksi dengan situs WordPress Anda. Ini mencakup tindakan seperti memposting konten, mengambil postingan, dan mengelola komentar dari jarak jauh, tanpa menggunakan antarmuka web WordPress.

WordPress mendukung XML-RPC melalui file bernama xmlrpc.php , yang dapat ditemukan di direktori root setiap instalasi WordPress. Faktanya, dukungan WordPress untuk XML-RPC telah menjadi bagian dari WordPress bahkan sebelum WordPress resmi menjadi WordPress.

file xmlrpc.php
File xmlrpc.php ditemukan di setiap instalasi WP.

Anda dapat mempelajari lebih lanjut tentang XML-RPC dan WordPress di postingan ini: XML-RPC dan Mengapa Saatnya Menghapusnya demi Keamanan WordPress.

Untuk Apa XML-RPC Digunakan?

Jika Anda perlu mengakses situs WordPress Anda, namun Anda tidak berada di dekat komputer Anda, XML-RPC memfasilitasi manajemen konten jarak jauh dan integrasi dengan aplikasi pihak ketiga dan menyederhanakan proses pengelolaan situs WordPress tanpa akses langsung ke dasbor admin.

Pengguna WordPress bisa mendapatkan keuntungan dari penggunaan XML-RPC di berbagai bidang seperti:

  • Blogging Seluler : Publikasikan postingan, edit halaman, dan unggah file media dari jarak jauh menggunakan aplikasi seluler WordPress atau aplikasi seluler lainnya.
  • Integrasi dengan Klien Blogging Desktop : Aplikasi seperti Windows Live Writer atau MarsEdit memungkinkan pengguna untuk menulis dan mempublikasikan konten dari desktop mereka.
  • Integrasi dengan Layanan: Buat koneksi ke layanan seperti IFTTT
  • Alat Manajemen Jarak Jauh : Memungkinkan pengelolaan beberapa situs WordPress dari satu dasbor.
  • Trackback dan Pingback yang digunakan oleh situs lain untuk merujuk ke situs Anda.

Meskipun kehilangan popularitasnya karena API yang lebih baru, lebih efisien, dan lebih aman yang dibangun berdasarkan standar seperti REST atau GraphQL dan tidak lagi didukung oleh PHP mulai versi 8.0 dan seterusnya, XML-RPC masih banyak digunakan di WordPress karena terintegrasi ke banyak sistem yang ada. .

XML-RPC dan Keamanan WordPress

Jika Anda menggunakan aplikasi seluler WordPress, ingin membuat koneksi ke layanan seperti IFTTT, atau ingin mengakses dan mempublikasikan ke blog Anda dari jarak jauh, Anda perlu mengaktifkan XML-RPC. Jika tidak, itu hanyalah portal lain yang bisa dijadikan sasaran dan dieksploitasi oleh peretas.

Pro dan Kontra Menggunakan XML-RPC

Kelebihan menggunakan XML-RPC sebagian besar adalah kenyamanan dan efisiensi.

Meskipun sebagian besar aplikasi dapat menggunakan API WordPress dan bukan XML-RPC, beberapa aplikasi mungkin masih memerlukan akses ke xmlrpc.php dan menggunakannya untuk memastikan kompatibilitas dengan versi lama yang terinstal secara aktif.

Namun penting untuk mengetahui kelemahan penggunaan XML-RPC.

Pada dasarnya, XML-RPC adalah protokol usang dengan kelemahan keamanan yang melekat.

Ini termasuk:

  • Risiko Keamanan : XML-RPC dapat dieksploitasi untuk serangan brute force berskala besar, karena memungkinkan upaya login tanpa batas. Penyerang telah menggunakan fungsionalitas XML-RPC untuk melakukan serangan brute force yang luas terhadap situs WordPress. Dengan memanfaatkan metode system.multicall, penyerang dapat menguji ribuan kombinasi kata sandi dengan satu permintaan.
  • Performa : XML-RPC dapat menjadi vektor serangan DDoS melalui fitur pingback, mengubah situs WordPress yang tidak menaruh curiga menjadi bot terhadap domain yang ditargetkan, dan berpotensi memperlambat atau membuat situs mogok.

Cara Memeriksa apakah XML-RPC Diaktifkan/Dinonaktifkan di Situs WordPress

Anda dapat menggunakan alat validasi XML-RPC untuk memeriksa apakah situs WordPress Anda mengaktifkan atau menonaktifkan XML-RPC.

Alat Layanan Validasi XML-RPC WordPress
Alat validasi seperti xmlrpc.blog memungkinkan Anda memeriksa dengan mudah apakah XML-RPC diaktifkan di situs Anda.

Masukkan URL Anda ke dalam bidang Alamat dan klik tombol Periksa.

EBUKU GRATIS
Peta jalan langkah demi langkah Anda menuju bisnis pengembang web yang menguntungkan. Dari mendapatkan lebih banyak klien hingga melakukan penskalaan secara gila-gilaan.

Dengan mendownload ebook ini saya setuju untuk sesekali menerima email dari WPMU DEV.
Kami menjaga email Anda 100% pribadi dan tidak melakukan spam.

EBUKU GRATIS
Rencanakan, bangun, dan luncurkan situs WP Anda berikutnya tanpa hambatan. Daftar periksa kami membuat prosesnya mudah dan dapat diulang.

Dengan mendownload ebook ini saya setuju untuk sesekali menerima email dari WPMU DEV.
Kami menjaga email Anda 100% pribadi dan tidak melakukan spam.

Jika XML-RPC diaktifkan, Anda akan melihat pesan seperti di bawah ini.

Alat Validasi XML-RPC.
XML-RPC diaktifkan untuk situs ini.

Seperti yang sudah dijelaskan di atas, XML-RPC dapat membuat situs WordPress rentan terhadap spam dan serangan cyber.

Inilah sebabnya mengapa perusahaan hosting terbaik memblokir XML-RPC secara default dan mengapa kami menyarankan Anda menonaktifkan XML-RPC di situs WordPress Anda, kecuali Anda memiliki aplikasi terinstal yang memerlukannya untuk diaktifkan.

Mari kita lihat beberapa opsi yang dapat Anda gunakan untuk menonaktifkan XML-RPC secara otomatis di situs Anda (lihat posting ini untuk metode manual yang melibatkan penambahan kode ke file .htaccess Anda).

Otomatiskan Keamanan Hosting Anda dengan Alat Blok XML-RPC WPMU DEV

Kami baru-baru ini meluncurkan alat hosting bernama Block XML-RPC yang secara otomatis memblokir permintaan masuk di /xmlrpc.php bila diaktifkan.

Jika alat ini dinonaktifkan, situs WordPress Anda akan mengizinkan aplikasi mengakses file /xmlrpc.php .

Catatan: Situs baru yang dihosting di WPMU DEV dibuat dengan alat Block XML-RPC diaktifkan secara default.

Untuk mengakses alat dan mengaktifkan pemblokiran XML-RPC di situs yang ada, buka The Hub dan pilih tab Hosting > Alat .

Hub - Alat - Blok XML-RPC
Blokir XML-RPC meningkatkan keamanan hosting… secara otomatis!

Klik Nyala/Mati untuk mengaktifkan fitur dan menyimpan pengaturan Anda setelah selesai.

Itu dia! Situs Anda sekarang terlindungi dari eksploitasi dan serangan XML-RPC di tingkat server.

Tidak Dihosting dengan WPMU DEV? Kami Siap Membantu Anda

Jika situs Anda tidak dihosting dengan WPMU DEV (tsk, tsk…) , Anda dapat menggunakan plugin keamanan Defender gratis kami untuk menonaktifkan XML-RPC.

Fitur Nonaktifkan XML-RPC terletak di bagian Rekomendasi plugin.

Defender - Rekomendasi - Nonaktifkan XML-RPC
Nonaktifkan XML-RPC di situs Anda dengan satu klik menggunakan Defender.

Anda dapat memeriksa apakah XML-RPC telah dinonaktifkan di bagian Status .

Defender - Rekomendasi - Nonaktifkan XML-RPC
Menonaktifkan XML-RPC akan mempersulit peretas untuk mengeksploitasi situs Anda.

Untuk mengetahui cara tambahan melindungi situs Anda dari serangan DDoS, lihat tutorial ini: Cara Melindungi Situs Anda Dari Serangan DDoS.

Catatan: Plugin WordPress hanya memblokir XML-RPC pada level WordPress PHP, jadi jika terjadi serangan, permintaan akan tetap sampai ke WordPress PHP, sehingga meningkatkan beban server.

Sebaliknya, saat Anda mengaktifkan Block XML-RPC di tingkat server, permintaan tidak akan pernah mencapai situs Anda dan mengembalikan pesan kesalahan “403 Forbidden” kepada penyerang.

Alat Validasi XML-RPC.
Situs ini dilindungi di tingkat server.

Untuk informasi lebih lanjut dan tutorial mendetail tentang hal di atas, lihat bagian dokumen berikut: Blokir alat XML-RPC (Hosting) dan Nonaktifkan XML RPC (plugin Defender).

HORMATI XML-RPC

Mengingat potensi risiko keamanan, pemilik situs WordPress harus mempertimbangkan dengan cermat apakah kemudahan yang ditawarkan XML-RPC melebihi kerentanannya.

Untuk situs WordPress yang memanfaatkan XML-RPC, kami menyarankan penerapan kata sandi yang kuat, membatasi upaya login, dan menggunakan plugin keamanan seperti Defender untuk membantu mengurangi risiko.

Namun, jika fungsi tersebut tidak diperlukan dan situs Anda berjalan pada salah satu paket hosting kami, kami sangat menyarankan untuk menonaktifkan XML-RPC di tingkat server menggunakan alat XML-RPC untuk lebih mengurangi kemungkinan serangan DDoS dan brute force.

Sudahkah Anda mencoba alat Block XML-RPC? Jika tidak, mengapa Anda perlu mengaktifkan XML-RPC? Sampaikan pendapatmu pada bagian komentar di bawah ini.