I början av WordPress fanns det funktioner som gjorde att du kunde interagera med din webbplats på distans. Samma egenskaper gjorde det möjligt att bygga en community genom att låta andra bloggare komma åt din blogg. Det huvudsakliga verktyget som används för detta ändamål är " XML-RPC ".
« XML-RPC "Eller" XML Remote Procedure Call Ger stor kraft till WordPress:
- Ansluter till din webbplats med en SmartPhone
- TrackBacks och Pingbacks på din blogg
- Avancerad användning av Jetpack
Men det finns ett problem med " XML-RPC ", som du måste lösa för att bevara säkerheten för din Wordpress blogg.
Hur XML-RPC används på WordPress
Låt oss gå tillbaka i början av dagen blogging '(långt innan Wordpress), de flesta författare på Internet som används uppringd Att surfa på nätet. Det var svårt att skriva artiklar och skicka dem online. Lösningen var att skriva till din dator offline och " kopiera / klistra in Din artikel. Personer som använde den här metoden tyckte det var särskilt svårt eftersom deras text ofta hade utländska koder, även om dokumentet sparades i HTML-format.
Blogger har skapat ett applikationsprogrammeringsgränssnitt (API) för att ge andra utvecklare tillgång till Blogger-bloggar. Det räckte att ange webbplatsens namn, vilket gjorde det möjligt för användare att skapa artiklar offline och sedan ansluta till Blogger API via XML-RPC. Andra bloggsystem följde efter och i slutändan fanns en MetaWeblogAPI som standardiserade åtkomst som standard.
Efter tio år finns de flesta av våra applikationer på våra telefoner och surfplattor. En av de saker som folk gillar att göra med sina telefoner är att skicka inlägg till sina Wordpress blogg. 2008-09 tvingades Automattic skapa en WordPress-applikation för nästan alla mobila operativsystem (samma Blackberry och Windows Mobile).
Dessa applikationer tillät via XML-RPC-gränssnittet att använda dina WordPress.com-referenser för att ansluta till en WordPress-webbplats där du har vissa åtkomsträttigheter.
Varför ska vi glömma bort XML-RPC?
Kompatibilitet med XML-RPC Har varit en del av WordPress sedan första dagen. WordPress 2.6 släpptes den 15 juli 2008 och aktiveringen av " XML-RPC Har lagts till i WordPress-inställningar och är standard " off ".
En vecka senare släpptes en version av WordPress för iPhone och användarna ombads att aktivera funktionen. Fyra år efter att iPhone-appen gick med i familjen aktiverade WordPress 3.5 " XML-RPC ".
De huvudsakliga svagheterna i samband med XML-RPC är:
- Brute force attacker: Angripare försöker logga in på WordPress med xmlrpc.php med lika många kombinationer av användarnamn och lösenord. Det finns inga testrestriktioner. En metod i xmlrpc.php tillåter angriparen att använda ett enda kommando (system.multicall) Om du vill gissa hundratals lösenord.
- Denial of Service attacker via Pingback
Bekvämlighet kontra WordPress Security
Så här går vi igen. Den moderna världen är djupt tråkig med sina kompromisser.
Om du vill se till att ingen tar med en bomb på din båt, kör du den bara genom metalldetektorerna. Om du vill skydda din bil när du handlar, lås dörrarna och stäng fönstren. Du kan inte bara lita på webbplatsens lösenord för att skydda det (ger bilfönster tillräckligt skydd?), Speciellt om du använder Jetpack eller mobila applikationer.
Hur du avaktiverar XML-RPC på WordPress
Så du har blivit beroende av alla dessa verktyg som i sin tur är beroende av XML-RPC. Jag förstår att du inte vill stänga av "XML-RPC" ens en liten stund.
Här är dock några plugins som hjälper dig att göra det:
- Stoppa XML-RPC Attack : tillåter bara Jetpack och andra Automattic-verktyg att komma åt xmlrpc.php via .htaccess.
- Kontroll XML-RPC Publishing: återställer helt enkelt det gamla fjärrpubliceringsalternativet till skrivalternativen.
- iThemes Security , Anti-Malware Security och Brute-force Firewall et Allt i ett WP-säkerhet och brandväggDessa allmänna säkerhetsverktyg inkluderar skydd mot brute force i gratisversioner. De ser efter upprepade inloggningsförsök med eller utan xmlrpc.php och skyddar dig från frågor som försöker bryta din webbplats.
RESTA (och OAuth) till undsättning
Nu kanske du vet att WordPress-utvecklare vänder sig till REST-lösningen. Utvecklarna i REST API-teamet hade några problem att göra sig redo, inklusive med autentiseringsmyntet som är avsett att fixa XML-RPC-problemet. När detta äntligen genomförs (för närvarande schemalagd för WordPress 4.7 i slutet av 2016), behöver du inte använda XML-RPC för att ansluta till programvara som JetPack.
Istället kommer du att autentisera via OAuth-protokollet. Om du inte vet vad ett OAuth-protokoll är, kom ihåg vad som händer när en webbplats ber dig logga in med Google, Facebook eller till och med Twitter. På dessa plattformar är det protokoll som används OAuth.
WordPress REST API-test
Som jag sa tidigare är REST API ännu inte integrerat i WordPress-kärnan och kommer inte att vara på flera månader. Idag kan du börja testa det i dina testmiljöer:
Resten API kommer definitivt att vara WordPress framtid. Vi har redan skrivit flera handledning om den senare som ger dig idéer om hur du kan börja implementera den:
- Hur man vet när man ska använda Rest API
- Hur du använder Rest API
- 7 effektiva implementeringar av Rest API
- Hur man använder WordPress HTTP API
Det var allt för den här handledningen. Jag hoppas att du kommer att bli bättre informerad om riskerna med användningen av XML-RPC. Tveka inte att ställa frågor till oss i formen kommentarer.
