Yeni Blok XML-RPC Aracıyla WordPress Sitelerinin Barındırma Güvenliğini Otomatik Olarak Artırın

Yayınlanan: 2024-02-13

Müşterilerinize, WordPress web siteleri için parmaklarını bile kıpırdatmadan aşılmaz barındırma güvenliği sunmak kulağa hoş geliyorsa, XML-RPC saldırılarına karşı en yeni silahımız olan XML-RPC'yi Engelle'yi seveceksiniz!

WPMU DEV'in Blok XML-RPC'si
XML-RPC'yi engelle… bunun benim için ne anlama geldiğini öğrenin!

WordPress, başlangıcından bu yana XML-RPC adı verilen yerleşik bir özelliği kullanarak kullanıcıların siteleriyle uzaktan etkileşime girmesine olanak tanıdı. Bu sadece hareket halindeyken blog yazmak isteyen akıllı telefon kullanıcıları için değil, bilgisayar korsanları için de harika bir şey!

Bu makalede, XML-RPC hakkında bilmeniz gereken her şeyi ele alacağız ve WPMU DEV ile barındırılan WordPress sitelerini, en yeni barındırma güvenlik aracımızı kullanarak XML-RPC açıklarından yararlanan bilgisayar korsanlarından nasıl kolayca ve otomatik olarak koruyacağınızı göstereceğiz.

Ayrıca size başka bir yerde barındırılan WordPress sitelerini nasıl koruyacağınızı da göstereceğiz.

Temel bilgileri atlayıp iyi şeylere ulaşmak için okumaya devam edin veya aşağıdaki bağlantıya tıklayın:

Temeller:

  • XML-RPC Nedir?
  • XML-RPC Ne İçin Kullanılır?
  • XML-RPC ve WordPress Güvenliği

İyi Şeyler:

  • WPMU DEV'in Blok XML-RPC Aracıyla Barındırma Güvenliğinizi Otomatikleştirin
  • WPMU DEV'de Barındırılmıyor mu? Sizi Koruyoruz

Hemen içeri girelim…

XML-RPC Nedir?

XML-RPC, çağrılarını kodlamak için XML'i ve aktarım mekanizması olarak HTTP'yi kullanan bir uzaktan prosedür çağrısı (RPC) protokolüdür.

Basit ve pratik bir ifadeyle XML-RPC, harici uygulamaların WordPress sitenizle etkileşime girmesini sağlamak için kullanılır. Bu, WordPress web arayüzünü kullanmadan içerik yayınlama, gönderileri getirme ve yorumları uzaktan yönetme gibi eylemleri içerir.

WordPress, her WordPress kurulumunun kök dizininde bulunabilen xmlrpc.php adlı bir dosya aracılığıyla XML-RPC'yi destekler. Aslında, XML-RPC için WordPress desteği, WordPress resmi olarak WordPress olmadan önce bile WordPress'in bir parçasıydı.

xmlrpc.php dosyası
Xmlrpc.php dosyası her WP kurulumunda bulunur.

Bu yazıda XML-RPC ve WordPress hakkında daha fazla bilgi edinebilirsiniz: XML-RPC ve WordPress Güvenliği İçin Neden Kaldırma Zamanı?

XML-RPC Ne İçin Kullanılır?

WordPress web sitenize erişmeniz gerekiyorsa ancak bilgisayarınızın yakınında değilseniz XML-RPC, uzaktan içerik yönetimini ve üçüncü taraf uygulamalarla entegrasyonu kolaylaştırır ve yönetici kontrol paneline doğrudan erişim olmadan WordPress sitelerini yönetme sürecini kolaylaştırır.

WordPress kullanıcıları aşağıdaki gibi alanlarda XML-RPC kullanmanın avantajlarından yararlanabilir:

  • Mobil Bloglama : WordPress mobil uygulamasını veya diğer mobil uygulamaları kullanarak yayınlar yayınlayın, sayfaları düzenleyin ve medya dosyalarını uzaktan yükleyin.
  • Masaüstü Bloglama İstemcileriyle Entegrasyon : Windows Live Writer veya MarsEdit gibi uygulamalar, kullanıcıların masaüstlerinden içerik yazmasına ve yayınlamasına olanak tanır.
  • Hizmetlerle Entegrasyon: IFTTT gibi hizmetlere bağlantı kurun
  • Uzaktan Yönetim Araçları : Birden fazla WordPress sitesinin tek bir kontrol panelinden yönetilmesini sağlayın.
  • Diğer siteler tarafından sitenize atıfta bulunmak için kullanılan Geri İzlemeler ve Geri Pingler .

Popülaritesini REST veya GraphQL gibi standartlar üzerine kurulu daha yeni, daha verimli ve daha güvenli API'lere kaptırmasına ve 8.0 sürümünden itibaren artık PHP tarafından desteklenmemesine rağmen XML-RPC, mevcut birçok sisteme entegre olduğundan WordPress'te hala yaygın olarak kullanılmaktadır. .

XML-RPC ve WordPress Güvenliği

WordPress mobil uygulamasını kullanıyorsanız, IFTTT gibi hizmetlere bağlantı kurmak istiyorsanız veya blogunuza uzaktan erişip blogunuzu yayınlamak istiyorsanız XML-RPC'nin etkinleştirilmesi gerekir. Aksi takdirde bu, bilgisayar korsanlarının hedefleyip yararlanabileceği başka bir portaldan başka bir şey değildir.

XML-RPC Kullanmanın Artıları ve Eksileri

XML-RPC kullanmanın avantajları çoğunlukla kolaylık ve verimliliktir.

Çoğu uygulama XML-RPC yerine WordPress API'sini kullanabilse de, bazıları hala xmlrpc.php dosyasına erişmeyi gerektirebilir ve bunu aktif olarak yüklenmiş eski sürümlerle geriye dönük uyumluluk sağlamak için kullanabilir.

Ancak XML-RPC kullanmanın dezavantajlarını bilmek önemlidir.

Temel olarak XML-RPC, doğasında güvenlik kusurları bulunan eski bir protokoldür.

Bunlar şunları içerir:

  • Güvenlik Riski : XML-RPC, sınırsız oturum açma denemelerine izin verdiği için büyük ölçekli kaba kuvvet saldırıları için kullanılabilir. Saldırganlar, WordPress sitelerine karşı yaygın kaba kuvvet saldırıları gerçekleştirmek için XML-RPC işlevini kullandı. Saldırganlar system.multicall yöntemini kullanarak tek bir istekle binlerce şifre kombinasyonunu test edebilir.
  • Performans : XML-RPC, pingback özelliği aracılığıyla DDoS saldırıları için bir vektör olabilir, şüphelenmeyen WordPress sitelerini hedeflenen alanlara karşı botlara dönüştürebilir ve potansiyel olarak siteyi yavaşlatabilir veya çökertebilir.

WordPress Sitelerinde XML-RPC'nin Etkin/Devre Dışı Olup Olmadığını Kontrol Etme

WordPress sitenizde XML-RPC'nin etkin veya devre dışı olup olmadığını kontrol etmek için XML-RPC doğrulama aracını kullanabilirsiniz.

WordPress XML-RPC Doğrulama Hizmeti aracı
xmlrpc.blog gibi bir doğrulama aracı, sitenizde XML-RPC'nin etkin olup olmadığını kolayca kontrol etmenize olanak tanır.

URL'nizi Adres alanına girin ve Kontrol Et düğmesini tıklayın.

ÜCRETSİZ E-KİTAP
Kârlı bir web geliştirme işine giden adım adım yol haritanız. Daha fazla müşteri kazanmaktan deli gibi ölçeklenmeye kadar.

Bu e-kitabı indirerek ara sıra WPMU DEV'den e-posta almayı kabul ediyorum.
E-postanızı %100 gizli tutuyoruz ve spam yapmıyoruz.

ÜCRETSİZ E-KİTAP
Bir sonraki WP sitenizi sorunsuz bir şekilde planlayın, oluşturun ve başlatın. Kontrol listemiz süreci kolay ve tekrarlanabilir hale getirir.

Bu e-kitabı indirerek ara sıra WPMU DEV'den e-posta almayı kabul ediyorum.
E-postanızı %100 gizli tutuyoruz ve spam yapmıyoruz.

XML-RPC etkinse aşağıda gösterilene benzer bir mesaj göreceksiniz.

XML-RPC Doğrulama aracı.
Bu site için XML-RPC etkinleştirildi.

Yukarıda açıklandığı gibi XML-RPC, WordPress sitelerini spam ve siber saldırılara karşı savunmasız hale getirebilir.

Bu nedenle en iyi barındırma şirketleri XML-RPC'yi varsayılan olarak engeller ve etkinleştirilmesini gerektiren uygulamalarınız yüklü olmadığı sürece, WordPress site(ler)inizde XML-RPC'yi devre dışı bırakmanızı öneririz.

O halde sitenizde XML-RPC'yi otomatik olarak devre dışı bırakmak için kullanabileceğiniz birkaç seçeneğe bir göz atalım (.htaccess dosyanıza kod eklemeyi içeren manuel yöntem için bu gönderiye bakın).

WPMU DEV'in Blok XML-RPC Aracıyla Barındırma Güvenliğinizi Otomatikleştirin

Yakın zamanda, etkinleştirildiğinde /xmlrpc.php dosyasına gelen istekleri otomatik olarak engelleyen XML-RPC'yi Engelle adlı bir barındırma aracını kullanıma sunduk.

Araç devre dışı bırakılırsa, WordPress siteniz uygulamaların /xmlrpc.php dosyasına erişmesine izin verecektir.

Not: WPMU DEV'de barındırılan yeni siteler, XML-RPC'yi Engelle aracı varsayılan olarak etkinleştirilmiş olarak oluşturulur.

Araca erişmek ve mevcut sitelerde XML-RPC engellemeyi etkinleştirmek için Hub'a gidin ve Barındırma > Araçlar sekmesini seçin.

Hub - Araçlar - XML-RPC'yi Engelle
XML-RPC'yi engelle, barındırma güvenliğini otomatik olarak artırır!

Özelliği açıp kapattığınızda ayarlarınızı kaydetmek için Açık/Kapalı öğesine tıklayın.

Bu kadar! Siteniz artık XML-RPC açıklarından yararlanmalara ve sunucu düzeyindeki saldırılara karşı korunuyor.

WPMU DEV'de Barındırılmıyor mu? Sizi Koruyoruz

Siteniz WPMU DEV (tsk, tsk…) ile barındırılmıyorsa XML-RPC'yi devre dışı bırakmak için ücretsiz Defender güvenlik eklentimizi kullanabilirsiniz.

XML-RPC'yi Devre Dışı Bırak özelliği eklentinin Öneriler bölümünde bulunur.

Defender - Öneriler - XML-RPC'yi devre dışı bırakın
Defender'ı kullanarak sitenizdeki XML-RPC'yi tek tıklamayla devre dışı bırakın.

Durum bölümünde XML-RPC'nin devre dışı bırakılıp bırakılmadığını kontrol edebilirsiniz.

Defender - Öneriler - XML-RPC'yi devre dışı bırakın
XML-RPC'yi devre dışı bırakmak, bilgisayar korsanlarının sitenizden yararlanmasını zorlaştıracaktır.

Sitenizi DDoS saldırılarına karşı korumanın ek yolları için şu eğiticiye bakın: Sitenizi DDoS Saldırılarından Nasıl Korursunuz.

Not: WordPress eklentileri XML-RPC'yi yalnızca WordPress PHP düzeyinde engeller; dolayısıyla bir saldırı meydana gelirse istek yine de WordPress PHP'ye ulaşır ve ardından sunucu yükü artar.

Bunun aksine, sunucu düzeyinde XML-RPC'yi Engelle seçeneğini etkinleştirdiğinizde, istekler hiçbir zaman sitenize ulaşmayacak ve saldırganlara "403 Yasak" hata mesajı göndermeyecektir.

XML-RPC Doğrulama aracı.
Bu site sunucu düzeyinde korunmaktadır.

Yukarıdakilerle ilgili daha fazla bilgi ve ayrıntılı eğitimler için şu belge bölümlerine bakın: XML-RPC aracını engelle (Barındırma) ve XML RPC'yi Devre Dışı Bırak (Defender eklentisi).

XML-RPC'ye SAYGI GÖSTERİN

Potansiyel güvenlik riskleri göz önüne alındığında, WordPress site sahipleri, XML-RPC'nin sunduğu kolaylığın güvenlik açıklarından daha ağır basıp basmadığını dikkatlice düşünmelidir.

XML-RPC'den yararlanan WordPress siteleri için güçlü şifreler uygulamanızı, oturum açma girişimlerini sınırlandırmanızı ve riskleri azaltmaya yardımcı olması için Defender gibi bir güvenlik eklentisi kullanmanızı öneririz.

Ancak, işlevselliğe ihtiyaç duyulmuyorsa ve siteleriniz barındırma planlarımızdan herhangi birinde çalışıyorsa, DDoS ve kaba kuvvet saldırıları olasılığını daha da azaltmak için XML-RPC aracını kullanarak XML-RPC'yi sunucu düzeyinde devre dışı bırakmanızı önemle öneririz.

XML-RPC'yi Engelle aracını henüz denediniz mi? Değilse neden XML-RPC'nin etkinleştirilmesine ihtiyacınız var? Aşağıdaki yorum bölümünde düşüncelerinizi paylaşın.