使用新的 Block XML-RPC 工具自动增强 WordPress 网站的托管安全性
已发表: 2024-02-13如果毫不费力地为您的客户的 WordPress 网站提供坚不可摧的托管安全听起来很棒,那么您一定会喜欢Block XML-RPC ……我们抵御 XML-RPC 攻击的最新武器!
自诞生以来,WordPress 就允许用户使用名为 XML-RPC 的内置功能与其网站进行远程交互。 这不仅对想要随时随地写博客的智能手机用户来说很棒……对黑客来说也是如此!
在本文中,我们将介绍您需要了解的有关 XML-RPC 的所有内容,并向您展示如何使用我们最新的托管安全工具轻松自动地保护由 WPMU DEV 托管的 WordPress 站点免遭利用 XML-RPC 漏洞的黑客攻击。
我们还将向您展示如何保护其他地方托管的 WordPress 网站。
继续阅读或单击下面的链接以跳过基础知识并获得精彩内容:
基础知识:
- 什么是 XML-RPC?
- XML-RPC 有何用途?
- XML-RPC 和 WordPress 安全
好东西:
- 使用 WPMU DEV 的 Block XML-RPC 工具自动化您的托管安全
- 未由 WPMU DEV 托管? 我们为您服务
让我们直接跳进去……
什么是 XML-RPC?
XML-RPC 是一种远程过程调用 (RPC) 协议,它使用 XML 对其调用进行编码,并使用 HTTP 作为传输机制。
简而言之,XML-RPC 用于使外部应用程序能够与您的 WordPress 站点进行交互。 这包括在不使用 WordPress Web 界面的情况下远程发布内容、获取帖子和管理评论等操作。
WordPress 通过一个名为xmlrpc.php的文件支持 XML-RPC,该文件可以在每个 WordPress 安装的根目录中找到。 事实上,早在 WordPress 正式成为 WordPress 之前,WordPress 对 XML-RPC 的支持就已经是 WordPress 的一部分了。
您可以在这篇文章中了解有关 XML-RPC 和 WordPress 的更多信息:XML-RPC 以及为什么是时候为了 WordPress 安全而删除它。
XML-RPC 有何用途?
如果您需要访问 WordPress 网站,但远离计算机,XML-RPC 可以促进远程内容管理以及与第三方应用程序的集成,并简化管理 WordPress 网站的过程,而无需直接访问管理仪表板。
WordPress 用户可以从以下领域使用 XML-RPC 中受益:
- 移动博客:使用 WordPress 移动应用程序或其他移动应用程序远程发布帖子、编辑页面和上传媒体文件。
- 与桌面博客客户端集成:Windows Live Writer 或 MarsEdit 等应用程序允许用户从桌面编写和发布内容。
- 与服务集成:连接到 IFTTT 等服务
- 远程管理工具:允许从单个仪表板管理多个 WordPress 站点。
- 其他网站用来引用您网站的Trackback 和 Pingback 。
尽管它的受欢迎程度已被基于 REST 或 GraphQL 等标准构建的更新、更高效、更安全的 API 取代,并且从版本 8.0 开始不再受 PHP 支持,但 XML-RPC 仍然在 WordPress 中广泛使用,因为它已集成到许多现有系统中。
XML-RPC 和 WordPress 安全
如果您使用 WordPress 移动应用程序,想要连接到 IFTTT 等服务,或者想要远程访问和发布到您的博客,那么您需要启用 XML-RPC。 否则,这只是黑客攻击和利用的另一个门户。
使用 XML-RPC 的优点和缺点
使用 XML-RPC 的优点主要是方便和高效。
尽管大多数应用程序可以使用 WordPress API 而不是 XML-RPC,但有些应用程序可能仍然需要访问 xmlrpc.php 并使用它来确保与主动安装的旧版本的向后兼容性。
然而,了解使用 XML-RPC 的缺点很重要。
基本上,XML-RPC 是一种过时的协议,具有固有的安全缺陷。
这些包括:
- 安全风险:XML-RPC 可被利用进行大规模暴力攻击,因为它允许无限制的登录尝试。 攻击者使用 XML-RPC 功能对 WordPress 网站进行广泛的暴力攻击。 通过利用 system.multicall 方法,攻击者可以通过单个请求测试数千个密码组合。
- 性能:XML-RPC 可以通过 pingback 功能成为 DDoS 攻击的载体,将毫无戒心的 WordPress 网站变成针对目标域的机器人,并可能减慢网站速度或导致网站崩溃。
如何检查 WordPress 网站上是否启用/禁用 XML-RPC
您可以使用 XML-RPC 验证工具来检查您的 WordPress 站点是否启用或禁用了 XML-RPC。
在“地址”字段中输入您的 URL,然后单击“检查”按钮。
免费电子书
您通往盈利的网络开发业务的分步路线图。 从吸引更多客户到疯狂扩张。
免费电子书
顺利规划、构建和启动您的下一个 WP 网站。 我们的清单使该过程变得简单且可重复。
如果启用了 XML-RPC,您将看到如下所示的消息。
如上所述,XML-RPC 可能会使 WordPress 网站容易受到垃圾邮件和网络攻击。
这就是为什么最好的托管公司默认阻止 XML-RPC 的原因,也是我们建议您在 WordPress 站点上禁用 XML-RPC 的原因,除非您安装了需要启用 XML-RPC 的应用程序。
那么,让我们看一下可用于在站点上自动禁用 XML-RPC 的几个选项(有关涉及将代码添加到 .htaccess 文件的手动方法,请参阅这篇文章)。
使用 WPMU DEV 的 Block XML-RPC 工具自动化您的托管安全
我们最近推出了一个名为Block XML-RPC 的托管工具,启用后会自动阻止/xmlrpc.php上的传入请求。
如果禁用该工具,您的 WordPress 站点将允许应用程序访问/xmlrpc.php文件。
注意: WPMU DEV 上托管的新站点是在默认启用的Block XML-RPC 工具的情况下创建的。
要访问该工具并在现有站点上启用 XML-RPC 阻止,请转至 The Hub 并选择托管 > 工具选项卡。
单击开/关可切换该功能并在完成后保存您的设置。
就是这样! 您的站点现在已受到保护,免受服务器级别的 XML-RPC 漏洞和攻击。
未由 WPMU DEV 托管? 我们为您服务
如果您的网站未使用 WPMU DEV 托管(tsk、tsk...) ,您可以使用我们的免费 Defender 安全插件来禁用 XML-RPC。
禁用 XML-RPC 功能位于插件的建议部分。
您可以在“状态”部分检查 XML-RPC 是否已禁用。
有关保护您的网站免受 DDoS 攻击的其他方法,请参阅本教程:如何保护您的网站免受 DDoS 攻击。
注意: WordPress 插件仅在 WordPress PHP 级别阻止 XML-RPC,因此如果发生攻击,请求仍会到达 WordPress PHP,从而增加服务器负载。
相反,当您在服务器级别启用阻止 XML-RPC 时,请求将永远不会到达您的站点,并向攻击者返回“403 Forbidden”错误消息。
有关上述内容的更多信息和详细教程,请参阅以下文档部分:阻止 XML-RPC 工具(托管)和禁用 XML RPC(Defender 插件)。
尊重 XML-RPC
考虑到潜在的安全风险,WordPress 网站所有者应该仔细考虑 XML-RPC 提供的便利是否超过其漏洞。
对于受益于 XML-RPC 的 WordPress 网站,我们建议实施强密码、限制登录尝试,并使用 Defender 等安全插件来帮助降低风险。
但是,如果不需要该功能并且您的站点在我们的任何托管计划上运行,我们强烈建议使用 XML-RPC 工具在服务器级别禁用 XML-RPC,以进一步减少 DDoS 和暴力攻击的可能性。