Yeni Blok XML-RPC Aracıyla WordPress Sitelerinin Barındırma Güvenliğini Otomatik Olarak Artırın
Yayınlanan: 2024-02-13Müşterilerinize, WordPress web siteleri için parmaklarını bile kıpırdatmadan aşılmaz barındırma güvenliği sunmak kulağa hoş geliyorsa, XML-RPC saldırılarına karşı en yeni silahımız olan XML-RPC'yi Engelle'yi seveceksiniz!
WordPress, başlangıcından bu yana XML-RPC adı verilen yerleşik bir özelliği kullanarak kullanıcıların siteleriyle uzaktan etkileşime girmesine olanak tanıdı. Bu sadece hareket halindeyken blog yazmak isteyen akıllı telefon kullanıcıları için değil, bilgisayar korsanları için de harika bir şey!
Bu makalede, XML-RPC hakkında bilmeniz gereken her şeyi ele alacağız ve WPMU DEV ile barındırılan WordPress sitelerini, en yeni barındırma güvenlik aracımızı kullanarak XML-RPC açıklarından yararlanan bilgisayar korsanlarından nasıl kolayca ve otomatik olarak koruyacağınızı göstereceğiz.
Ayrıca size başka bir yerde barındırılan WordPress sitelerini nasıl koruyacağınızı da göstereceğiz.
Temel bilgileri atlayıp iyi şeylere ulaşmak için okumaya devam edin veya aşağıdaki bağlantıya tıklayın:
Temeller:
- XML-RPC Nedir?
- XML-RPC Ne İçin Kullanılır?
- XML-RPC ve WordPress Güvenliği
İyi Şeyler:
- WPMU DEV'in Blok XML-RPC Aracıyla Barındırma Güvenliğinizi Otomatikleştirin
- WPMU DEV'de Barındırılmıyor mu? Sizi Koruyoruz
Hemen içeri girelim…
XML-RPC Nedir?
XML-RPC, çağrılarını kodlamak için XML'i ve aktarım mekanizması olarak HTTP'yi kullanan bir uzaktan prosedür çağrısı (RPC) protokolüdür.
Basit ve pratik bir ifadeyle XML-RPC, harici uygulamaların WordPress sitenizle etkileşime girmesini sağlamak için kullanılır. Bu, WordPress web arayüzünü kullanmadan içerik yayınlama, gönderileri getirme ve yorumları uzaktan yönetme gibi eylemleri içerir.
WordPress, her WordPress kurulumunun kök dizininde bulunabilen xmlrpc.php
adlı bir dosya aracılığıyla XML-RPC'yi destekler. Aslında, XML-RPC için WordPress desteği, WordPress resmi olarak WordPress olmadan önce bile WordPress'in bir parçasıydı.
Bu yazıda XML-RPC ve WordPress hakkında daha fazla bilgi edinebilirsiniz: XML-RPC ve WordPress Güvenliği İçin Neden Kaldırma Zamanı?
XML-RPC Ne İçin Kullanılır?
WordPress web sitenize erişmeniz gerekiyorsa ancak bilgisayarınızın yakınında değilseniz XML-RPC, uzaktan içerik yönetimini ve üçüncü taraf uygulamalarla entegrasyonu kolaylaştırır ve yönetici kontrol paneline doğrudan erişim olmadan WordPress sitelerini yönetme sürecini kolaylaştırır.
WordPress kullanıcıları aşağıdaki gibi alanlarda XML-RPC kullanmanın avantajlarından yararlanabilir:
- Mobil Bloglama : WordPress mobil uygulamasını veya diğer mobil uygulamaları kullanarak yayınlar yayınlayın, sayfaları düzenleyin ve medya dosyalarını uzaktan yükleyin.
- Masaüstü Bloglama İstemcileriyle Entegrasyon : Windows Live Writer veya MarsEdit gibi uygulamalar, kullanıcıların masaüstlerinden içerik yazmasına ve yayınlamasına olanak tanır.
- Hizmetlerle Entegrasyon: IFTTT gibi hizmetlere bağlantı kurun
- Uzaktan Yönetim Araçları : Birden fazla WordPress sitesinin tek bir kontrol panelinden yönetilmesini sağlayın.
- Diğer siteler tarafından sitenize atıfta bulunmak için kullanılan Geri İzlemeler ve Geri Pingler .
Popülaritesini REST veya GraphQL gibi standartlar üzerine kurulu daha yeni, daha verimli ve daha güvenli API'lere kaptırmasına ve 8.0 sürümünden itibaren artık PHP tarafından desteklenmemesine rağmen XML-RPC, mevcut birçok sisteme entegre olduğundan WordPress'te hala yaygın olarak kullanılmaktadır. .
XML-RPC ve WordPress Güvenliği
WordPress mobil uygulamasını kullanıyorsanız, IFTTT gibi hizmetlere bağlantı kurmak istiyorsanız veya blogunuza uzaktan erişip blogunuzu yayınlamak istiyorsanız XML-RPC'nin etkinleştirilmesi gerekir. Aksi takdirde bu, bilgisayar korsanlarının hedefleyip yararlanabileceği başka bir portaldan başka bir şey değildir.
XML-RPC Kullanmanın Artıları ve Eksileri
XML-RPC kullanmanın avantajları çoğunlukla kolaylık ve verimliliktir.
Çoğu uygulama XML-RPC yerine WordPress API'sini kullanabilse de, bazıları hala xmlrpc.php dosyasına erişmeyi gerektirebilir ve bunu aktif olarak yüklenmiş eski sürümlerle geriye dönük uyumluluk sağlamak için kullanabilir.
Ancak XML-RPC kullanmanın dezavantajlarını bilmek önemlidir.
Temel olarak XML-RPC, doğasında güvenlik kusurları bulunan eski bir protokoldür.
Bunlar şunları içerir:
- Güvenlik Riski : XML-RPC, sınırsız oturum açma denemelerine izin verdiği için büyük ölçekli kaba kuvvet saldırıları için kullanılabilir. Saldırganlar, WordPress sitelerine karşı yaygın kaba kuvvet saldırıları gerçekleştirmek için XML-RPC işlevini kullandı. Saldırganlar system.multicall yöntemini kullanarak tek bir istekle binlerce şifre kombinasyonunu test edebilir.
- Performans : XML-RPC, pingback özelliği aracılığıyla DDoS saldırıları için bir vektör olabilir, şüphelenmeyen WordPress sitelerini hedeflenen alanlara karşı botlara dönüştürebilir ve potansiyel olarak siteyi yavaşlatabilir veya çökertebilir.
WordPress Sitelerinde XML-RPC'nin Etkin/Devre Dışı Olup Olmadığını Kontrol Etme
WordPress sitenizde XML-RPC'nin etkin veya devre dışı olup olmadığını kontrol etmek için XML-RPC doğrulama aracını kullanabilirsiniz.
URL'nizi Adres alanına girin ve Kontrol Et düğmesini tıklayın.
ÜCRETSİZ E-KİTAP
Kârlı bir web geliştirme işine giden adım adım yol haritanız. Daha fazla müşteri kazanmaktan deli gibi ölçeklenmeye kadar.
ÜCRETSİZ E-KİTAP
Bir sonraki WP sitenizi sorunsuz bir şekilde planlayın, oluşturun ve başlatın. Kontrol listemiz süreci kolay ve tekrarlanabilir hale getirir.
XML-RPC etkinse aşağıda gösterilene benzer bir mesaj göreceksiniz.
Yukarıda açıklandığı gibi XML-RPC, WordPress sitelerini spam ve siber saldırılara karşı savunmasız hale getirebilir.
Bu nedenle en iyi barındırma şirketleri XML-RPC'yi varsayılan olarak engeller ve etkinleştirilmesini gerektiren uygulamalarınız yüklü olmadığı sürece, WordPress site(ler)inizde XML-RPC'yi devre dışı bırakmanızı öneririz.
O halde sitenizde XML-RPC'yi otomatik olarak devre dışı bırakmak için kullanabileceğiniz birkaç seçeneğe bir göz atalım (.htaccess dosyanıza kod eklemeyi içeren manuel yöntem için bu gönderiye bakın).
WPMU DEV'in Blok XML-RPC Aracıyla Barındırma Güvenliğinizi Otomatikleştirin
Yakın zamanda, etkinleştirildiğinde /xmlrpc.php
dosyasına gelen istekleri otomatik olarak engelleyen XML-RPC'yi Engelle adlı bir barındırma aracını kullanıma sunduk.
Araç devre dışı bırakılırsa, WordPress siteniz uygulamaların /xmlrpc.php
dosyasına erişmesine izin verecektir.
Not: WPMU DEV'de barındırılan yeni siteler, XML-RPC'yi Engelle aracı varsayılan olarak etkinleştirilmiş olarak oluşturulur.
Araca erişmek ve mevcut sitelerde XML-RPC engellemeyi etkinleştirmek için Hub'a gidin ve Barındırma > Araçlar sekmesini seçin.
Özelliği açıp kapattığınızda ayarlarınızı kaydetmek için Açık/Kapalı öğesine tıklayın.
Bu kadar! Siteniz artık XML-RPC açıklarından yararlanmalara ve sunucu düzeyindeki saldırılara karşı korunuyor.
WPMU DEV'de Barındırılmıyor mu? Sizi Koruyoruz
Siteniz WPMU DEV (tsk, tsk…) ile barındırılmıyorsa XML-RPC'yi devre dışı bırakmak için ücretsiz Defender güvenlik eklentimizi kullanabilirsiniz.
XML-RPC'yi Devre Dışı Bırak özelliği eklentinin Öneriler bölümünde bulunur.
Durum bölümünde XML-RPC'nin devre dışı bırakılıp bırakılmadığını kontrol edebilirsiniz.
Sitenizi DDoS saldırılarına karşı korumanın ek yolları için şu eğiticiye bakın: Sitenizi DDoS Saldırılarından Nasıl Korursunuz.
Not: WordPress eklentileri XML-RPC'yi yalnızca WordPress PHP düzeyinde engeller; dolayısıyla bir saldırı meydana gelirse istek yine de WordPress PHP'ye ulaşır ve ardından sunucu yükü artar.
Bunun aksine, sunucu düzeyinde XML-RPC'yi Engelle seçeneğini etkinleştirdiğinizde, istekler hiçbir zaman sitenize ulaşmayacak ve saldırganlara "403 Yasak" hata mesajı göndermeyecektir.
Yukarıdakilerle ilgili daha fazla bilgi ve ayrıntılı eğitimler için şu belge bölümlerine bakın: XML-RPC aracını engelle (Barındırma) ve XML RPC'yi Devre Dışı Bırak (Defender eklentisi).
XML-RPC'ye SAYGI GÖSTERİN
Potansiyel güvenlik riskleri göz önüne alındığında, WordPress site sahipleri, XML-RPC'nin sunduğu kolaylığın güvenlik açıklarından daha ağır basıp basmadığını dikkatlice düşünmelidir.
XML-RPC'den yararlanan WordPress siteleri için güçlü şifreler uygulamanızı, oturum açma girişimlerini sınırlandırmanızı ve riskleri azaltmaya yardımcı olması için Defender gibi bir güvenlik eklentisi kullanmanızı öneririz.
Ancak, işlevselliğe ihtiyaç duyulmuyorsa ve siteleriniz barındırma planlarımızdan herhangi birinde çalışıyorsa, DDoS ve kaba kuvvet saldırıları olasılığını daha da azaltmak için XML-RPC aracını kullanarak XML-RPC'yi sunucu düzeyinde devre dışı bırakmanızı önemle öneririz.