Bài viết hướng dẫn các bạn cài đặt PHP-SOAP, PHP-INTL và PHP-XMLRPC trên DirectAdmin thông qua thư mục custombuild Show Add Sau đó build lại php bằng lệnh Tấn công XMLRPC để hạn chế tấn công theo công thức này thì có một cách đơn giản nhất là chặn tập tin này không cho thực thi. Lưu ý các bạn không nên xóa đi vì nó là một phần của mã nguồn WordPress, có thể gây ra lỗi hoặc khi cập nhật phiên bản nó sẽ có lại nên ngăn chặn là cách tối ưu nhất Có 2 cách để ngăn chặn, cách thứ nhất là CHMOD tệp này thành 100 hoặc 400, cách thứ hai là không cho máy chủ web thực thi tệp này thông qua. htaccess (đối với Apache) hoặc NGINX Chặn xmlrpc. php on. htaccessNếu bạn sử dụng Share Host hoặc các máy chủ cài đặt Apache, hãy thêm đoạn sau vào tệp. htaccess ở thư mục gốc của trang web order allow,deny deny from all Chặn xmlrpc. php trên NGINXNếu bạn đang sử dụng NGINX làm phụ trợ (sử dụng tương tự với PHP-FPM) thì bỏ đoạn sau vào tệp cấu hình miền trên NGINX server {
…
location /xmlrpc.php {
deny all;
}
}
Sau đó khởi động lại NGINX service nginx restart Chặn xmlrpc. php bằng pluginNếu bạn không tiện làm theo cách 2 thì hãy sử dụng Plugin để hạn chế tấn công Tính năng sử dụng có sẵn của iThemes Security dễ dàng nhất Plugin bảo mật này hầu như là một plugin phải cài đặt khi sử dụng WordPress rồi, nếu bạn chưa cài đặt plugin này thì hãy cài đặt ngay theo hướng dẫn này. Trong plugin này đã có sẵn chức năng chặn XML-RPC và chặn Pingback (nên tắt luôn nếu không cần thiết), bạn có thể bật lên tại mục Bảo mật -> Cài đặt -> Tinh chỉnh WordPress và chọn Tắt XML-RPC Use Jetpack Plugin Bằng cách thực hiện các bước để giảm thiểu lưu lượng XML-RPC độc hại, trang web WordPress của bạn sẽ tiêu thụ hệ thống tài nguyên ít hơn. tài nguyên hệ thống mệt mỏi là lý do phổ biến nhất để tạo một trang web WordPress sẽ đi ngoại tuyến trên VPS. Các phương pháp ngăn chặn các cuộc tấn công vào các chủ đề cập nhật XML-RPC trong bài viết này sẽ đảm bảo trang web WordPress của bạn vẫn trực tuyến XML-RPC là gì? Bài viết này của BKHOST sẽ giúp các bạn hiểu rõ về các vấn đề trên. Nào, chúng ta hãy cùng bắt đầu XML-RPC là một tính năng được sử dụng để truyền tải dữ liệu của WordPress Nó sử dụng HTTP làm công cụ tải dữ liệu và XML làm công cụ mã hóa (mã hóa) Tính năng này được WordPress xây dựng và phát triển nhằm mục đích giao tiếp với các hệ thống bên ngoài vì WordPress không phải là hệ thống đóng hoàn toàn  XML-RPC cho phép người dùng thiết lập kết nối từ điện thoại đến trang web. Đồng thời, nó cũng cho phép thiết lập trackback và pingback từ các trang web khác, cùng các tính năng liên kết với plugin Jetpack Mục đích sử dụng của XML-RPCTrước đây, khi mạng internet còn nhiều chế độ hạn chế, quá trình tạo và đăng bài diễn ra rất chậm, kiếm tiền rất nhiều thời gian. Vì vậy, người ta ít khi viết bài trực tiếp vào trình duyệt mà soạn thảo trên máy tính. Sau đó copy paste vào website. Cách làm này tuy khá dễ dàng nhưng nó chưa phải là tốt nhất Để giải quyết vấn đề này, XML-RPC ra đời, nó giúp kết nối và truyền tải dữ liệu từ một ứng dụng blog ngoại tuyến bất kỳ ở đâu (bất cứ nơi nào người dùng viết nội dung) đến trang web XML-RPC at the current pointNăm 2008, WordPress tung ra phiên bản WordPress 2. 6, bạn có thể tùy chọn kích hoạt hoặc vô hiệu XML-RPC. Tuy nhiên, kể từ khi ứng dụng ứng dụng WordPress iPhone ra đời thì XML-RPC theo mặc định đã được kích hoạt và bạn không thể tắt hoàn toàn tính năng này trong cài đặt. Kể từ đó, trạng thái này vẫn được duy trì cho đến nay Theo time, function of file xmlrpc. php này đã giảm đi đáng kể, và kích thước của tệp đã được rút gọn đi rất nhiều từ 83kb còn 3kb. Vì vậy, đến thời điểm hiện tại, tệp này không còn đóng vai trò lớn như trước đây XML-RPC trong tương laiVới sự xuất hiện của API WordPress mới, trong tương lai XML-RPC có thể sẽ bị loại bỏ hoàn toàn khỏi mã nguồn WordPress. Mặc dù hiện tại API mới này vẫn đang trong quá trình thử nghiệm và bạn chỉ có thể sử dụng khi kích hoạt plugin API WordPress mới trong tương lai sẽ được viết trực tiếp vào lõi WordPress, để thay thế hoàn toàn cho tệp xmlrpc. php, because this file is not also required Có thể khẳng định, API mới sẽ ngày càng được cải tiến và mạnh mẽ hơn theo thời gian, nó sẽ giải quyết tất cả các vấn đề mà XML-RPC đang gặp phải Cách thức hoạt động của XMLRPCVề bản chất, XML-RPC bao gồm 2 thành phần cơ bản là máy chủ XMLRPC và máy khách XMLRPC Máy chủ XMLRPC là một máy chủ web, nó có nhiệm vụ tiếp nhận thông tin đã được mã hóa từ máy khách XMLRPC Máy khách XMLRPC có 2 nhiệm vụ
Tại sao bạn nên vô hiệu WordPress Xmlrpc. php?Nhược điểm lớn nhất của XML-RPC là ở vấn đề bảo mật. That kernel core back to from xmlrpc file. php bị lợi dụng để tấn công brute force lên trang web chính bằng cách sử dụng nó Tất nhiên, bạn có thể tránh bằng cách sử dụng mật khẩu cực mạnh và cài đặt thêm plugin bảo mật. Nhưng cách đơn giản và hiệu quả nhất vẫn là vô hiệu hóa hoàn toàn tệp này XML-RPC tồn tại 2 yếu tố khiến nó dễ sử dụng
Để kiểm tra XML-RPC có đang hoạt động hay không, bạn hãy sử dụng công cụ XML-RPC Validator để chạy thử. Nếu website vẫn hoạt động bình thường và xuất hiện thông báo lỗi thì website của bạn chưa được kích hoạt XML-RPC Hướng dẫn vô hiệu XML-RPCĐể vô hiệu hóa XML-RPC trong WordPress, bạn có thể sử dụng một trong hai phương pháp sau Cách 1. Vô hiệu XML-RPC bằng pluginCách này tương đối đơn giản, bạn chỉ cần tải xuống, cài đặt và kích hoạt plugin là xong. Cụ thể bạn cần phải thực hiện theo hướng dẫn sau Đầu tiên, bạn cần truy cập vào trang quản trị Admin, sau đó click vào mục Plugins, chọn Add New Tiếp đến, bạn tìm thấy tên plugin là “Disable XML-RPC”. Find to plugin as bên dưới và tiến trình cài đặt Sau khi cài đặt xong, click vào “Active Now” để kích hoạt. Sau khi kích hoạt plugin sẽ tự động thực thi các mã lệnh cần thiết để vô hiệu hóa XML-RPC Tuy nhiên, bạn cần lưu ý rằng có thể sẽ có một số plugin khác đang sử dụng một tính năng nào đó của XML-RPC. Vì vậy, nếu tắt nó hoàn toàn có thể sẽ dẫn đến plugin xung đột và khiến trang web của bạn tiếp tục hoạt động Để giải quyết tình trạng trên, bạn có thể tắt từng phần của XML-RPC (vẫn cho phép plugin và chức năng chạy nào), hãy sử dụng một số plugin dưới đây
cách 2. File mlrpc vô hiệu. php bằng file. htaccessNếu không muốn sử dụng plugin, bạn có thể vô hiệu hóa tệp xmlrpc. php bằng cách sử dụng tệp htaccess. Tệp này sẽ giúp bạn ngăn chặn các yêu cầu tới xmlrpc. php before before to WordPress
Đầu tiên, bạn cần mở tệp. htaccess lên. Thường thì tập tin này sẽ bị ẩn, bạn hãy sử dụng tính năng “hiển thị tập tin ẩn” để có thể nhìn thấy nó Sau đó, bạn hãy dán đoạn mã dưới đây vào tệp này
________số 8_______
Total results about XML-RPCNhư vậy, các bạn có thể thấy rằng XMLRPC là một giải pháp để truyền dữ liệu và đăng bài từ xa cho các trang web WordPress. Tuy nhiên, giải pháp này tồn tại nhiều lỗ hổng bảo mật và tạo điều kiện cho hacker tấn công. Vì vậy, để chắc chắn rằng bạn hoàn toàn nên tắt tính năng này đi Hy vọng với những thông tin mà BKHOST chia sẻ ở trên sẽ giúp bạn hiểu rõ hơn về XMLRPC. Nếu bạn có bất kỳ thắc mắc nào liên quan đến XMLRPC, vui lòng để lại nhận xét ở bên dưới, chúng tôi sẽ trả lời bạn trong thời gian sớm nhất Bạn có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kinh nghiệm quản trị website, tên miền, hosting, vps, server, email doanh nghiệp… Chúc bạn thành công |
