使用新的 Block XML-RPC 工具自動增強 WordPress 網站的託管安全性
已發表: 2024-02-13如果毫不費力地為您的客戶的 WordPress 網站提供堅不可摧的託管安全聽起來很棒,那麼您一定會喜歡Block XML-RPC …我們抵禦 XML-RPC 攻擊的最新武器!
自誕生以來,WordPress 就允許使用者使用名為 XML-RPC 的內建功能與其網站進行遠端互動。 這不僅對想要隨時隨地寫部落格的智慧型手機用戶來說很棒……對駭客來說也是如此!
在本文中,我們將介紹您需要了解的有關XML-RPC 的所有內容,並向您展示如何使用我們最新的託管安全工具輕鬆自動地保護由WPMU DEV 託管的WordPress 網站免遭利用XML-RPC 漏洞的黑客攻擊。
我們還將向您展示如何保護其他地方託管的 WordPress 網站。
繼續閱讀或點擊下面的連結以跳過基礎知識並獲得精彩內容:
基礎知識:
- 什麼是 XML-RPC?
- XML-RPC 有何用途?
- XML-RPC 和 WordPress 安全
好東西:
- 使用 WPMU DEV 的 Block XML-RPC 工具自動化您的託管安全
- 未由 WPMU DEV 託管? 我們為您服務
讓我們直接跳進去…
什麼是 XML-RPC?
XML-RPC 是一種遠端程序呼叫 (RPC) 協議,它使用 XML 對其呼叫進行編碼,並使用 HTTP 作為傳輸機制。
簡而言之,XML-RPC 用於使外部應用程式能夠與您的 WordPress 網站進行互動。 這包括在不使用 WordPress Web 介面的情況下遠端發佈內容、取得貼文和管理評論等操作。
WordPress 透過一個名為xmlrpc.php的檔案支援 XML-RPC,該檔案可以在每個 WordPress 安裝的根目錄中找到。 事實上,早在 WordPress 正式成為 WordPress 之前,WordPress 對 XML-RPC 的支援就已經是 WordPress 的一部分了。
您可以在這篇文章中了解有關 XML-RPC 和 WordPress 的更多資訊:XML-RPC 以及為什麼是時候為了 WordPress 安全而刪除它。
XML-RPC 有何用途?
如果您需要訪問 WordPress 網站,但遠離計算機,XML-RPC 可以促進遠端內容管理以及與第三方應用程式的集成,並簡化管理 WordPress 網站的過程,而無需直接存取管理儀表板。
WordPress 使用者可以從以下領域使用 XML-RPC 中受益:
- 行動部落格:使用 WordPress 行動應用程式或其他行動應用程式遠端發布貼文、編輯頁面和上傳媒體檔案。
- 與桌面部落格用戶端整合:Windows Live Writer 或 MarsEdit 等應用程式可讓使用者從桌面撰寫和發佈內容。
- 與服務整合:連接到 IFTTT 等服務
- 遠端管理工具:允許從單一儀表板管理多個 WordPress 網站。
- 其他網站則是用來引用您網站的Trackback 和 Pingback 。
儘管它的受歡迎程度已被基於REST 或GraphQL 等標準構建的更新、更高效、更安全的API 取代,並且從版本8.0 開始不再受PHP 支持,但XML-RPC 仍然在WordPress 中廣泛使用,因為它已整合到許多現有系統中。
XML-RPC 和 WordPress 安全
如果您使用 WordPress 行動應用程序,想要連接到 IFTTT 等服務,或者想要遠端存取和發佈到您的博客,那麼您需要啟用 XML-RPC。 否則,這只是駭客攻擊和利用的另一個門戶。
使用 XML-RPC 的優點和缺點
使用 XML-RPC 的優點主要是方便和有效率。
儘管大多數應用程式可以使用 WordPress API 而不是 XML-RPC,但有些應用程式可能仍然需要存取 xmlrpc.php 並使用它來確保與主動安裝的舊版本的向後相容性。
然而,了解使用 XML-RPC 的缺點很重要。
基本上,XML-RPC 是一種過時的協議,具有固有的安全缺陷。
這些包括:
- 安全風險:XML-RPC 可被利用進行大規模暴力攻擊,因為它允許無限制的登入嘗試。 攻擊者使用 XML-RPC 功能對 WordPress 網站進行廣泛的暴力攻擊。 透過利用 system.multicall 方法,攻擊者可以透過單一請求測試數千個密碼組合。
- 效能:XML-RPC 可以透過 pingback 功能成為 DDoS 攻擊的載體,將毫無戒心的 WordPress 網站變成針對目標網域的機器人,並可能減慢網站速度或導致網站崩潰。
如何檢查 WordPress 網站上是否啟用/停用 XML-RPC
您可以使用 XML-RPC 驗證工具來檢查您的 WordPress 網站是否啟用或停用了 XML-RPC。
在「地址」欄位中輸入您的 URL,然後按一下「檢查」按鈕。
免費電子書
您通往獲利的網路開發業務的分步路線圖。 從吸引更多客戶到瘋狂擴張。
免費電子書
順利規劃、建立並啟動您的下一個 WP 網站。 我們的清單使過程變得簡單且可重複。
如果啟用了 XML-RPC,您將看到如下所示的訊息。
如上所述,XML-RPC 可能會使 WordPress 網站容易受到垃圾郵件和網路攻擊。
這就是為什麼最好的託管公司預設阻止 XML-RPC 的原因,也是我們建議您在 WordPress 網站上停用 XML-RPC 的原因,除非您安裝了需要啟用 XML-RPC 的應用程式。
那麼,讓我們來看看可用於在網站上自動停用 XML-RPC 的幾個選項(有關涉及將程式碼新增至 .htaccess 檔案的手動方法,請參閱這篇文章)。
使用 WPMU DEV 的 Block XML-RPC 工具自動化您的託管安全
我們最近推出了一個名為Block XML-RPC 的託管工具,啟用後會自動阻止/xmlrpc.php上的傳入請求。
如果停用該工具,您的 WordPress 網站將允許應用程式存取/xmlrpc.php檔案。
注意: WPMU DEV 上託管的新網站是在預設啟用的Block XML-RPC 工具的情況下建立的。
若要存取該工具並在現有網站上啟用 XML-RPC 阻止,請前往 The Hub 並選擇託管 > 工具標籤。
按一下開/關可切換該功能並在完成後儲存您的設定。
就是這樣! 您的網站現在已受到保護,免受伺服器層級的 XML-RPC 漏洞和攻擊。
未由 WPMU DEV 託管? 我們為您服務
如果您的網站未使用 WPMU DEV 託管(tsk、tsk...) ,您可以使用我們的免費 Defender 安全性外掛程式來停用 XML-RPC。
停用 XML-RPC 功能位於插件的建議部分。
您可以在「狀態」部分檢查 XML-RPC 是否已停用。
有關保護您的網站免受 DDoS 攻擊的其他方法,請參閱本教學:如何保護您的網站免受 DDoS 攻擊。
注意: WordPress 外掛程式僅在 WordPress PHP 層級封鎖 XML-RPC,因此如果發生攻擊,請求仍會到達 WordPress PHP,從而增加伺服器負載。
相反,當您在伺服器層級啟用封鎖 XML-RPC 時,請求將永遠不會到達您的站點,並向攻擊者傳回「403 Forbidden」錯誤訊息。
有關上述內容的更多資訊和詳細教學課程,請參閱以下文件部分:阻止 XML-RPC 工具(託管)和停用 XML RPC(Defender 外掛程式)。
尊重 XML-RPC
考慮到潛在的安全風險,WordPress 網站所有者應該仔細考慮 XML-RPC 提供的便利性是否超過其漏洞。
對於受益於 XML-RPC 的 WordPress 網站,我們建議實施強密碼、限制登入嘗試,並使用 Defender 等安全性外掛程式來協助降低風險。
但是,如果不需要該功能並且您的網站在我們的任何託管計劃上運行,我們強烈建議使用 XML-RPC 工具在伺服器層級停用 XML-RPC,以進一步減少 DDoS 和暴力攻擊的可能性。