Από το απόγευμα του Σαββάτου στον διακομιστή μου, που φιλοξενεί περίπου 25 ιστότοπους στο Wordpress, άρχισαν τα άγρια ​​φρένα. Εφόσον κατάφερα να επιβιώσω από τις προηγούμενες επιθέσεις ( , ) χωρίς να γίνω αντιληπτός, δεν κατάλαβα αμέσως τι ήταν λάθος.

Όταν το κατάλαβα, αποδείχθηκε ότι υπήρχε αναζήτηση για κωδικούς πρόσβασης + πολλά αιτήματα προς το XMLRPC.

Ως αποτέλεσμα, ήταν δυνατό να τα κόψουμε όλα, αν και όχι αμέσως. Από τη γάτα τρία απλή υποδοχήπώς να το αποφύγεις.

Αυτές οι τεχνικές είναι πιθανότατα γνωστές σε όλους, αλλά πάτησα μια-δυο τσουγκράνες που δεν βρήκα στις περιγραφές - ξαφνικά αυτό θα εξοικονομήσει χρόνο σε κάποιον.

1. Σταματάμε την απαρίθμηση, το πρόσθετο Limit Login Attempts - το βάζουμε ακριβώς, αφού άλλες προστασίες κολλάνε πολύ τον διακομιστή, για παράδειγμα, κατά τη χρήση Plugin ΕίσοδοςΟ διακομιστής Security Solution πέθανε σε μισή ώρα, η προσθήκη φορτώνει πολύ τη βάση δεδομένων.

Στις ρυθμίσεις, βεβαιωθείτε ότι έχετε επιλέξει το πλαίσιο ελέγχου "Για διακομιστή μεσολάβησης" - διαφορετικά θα καθορίσει την ip του διακομιστή σας για όλους και θα αποκλείσει αυτόματα όλους.
ΕΝΗΜΕΡΩΣΗ, ευχαριστώ, οι λεπτομέρειες είναι παρακάτω στα σχόλια - ενεργοποιούμε το πλαίσιο ελέγχου "Για διακομιστή μεσολάβησης" μόνο εάν ο ορισμός δεν λειτουργεί όταν είναι ενεργοποιημένη η "Άμεση σύνδεση"

2. Απενεργοποιήστε το XML-RPC - πρόσθετο Απενεργοποιήστε το XML-RPC (απλώς ενεργοποιήστε το και τέλος).

3. Κλείστε το wp-login.php - εάν αποκτήσετε πρόσβαση στον ιστότοπο μέσω ip, το πρόσθετο δεν λειτουργεί και οι επιλογείς συνεχίζουν να σφυρηλατούν τον ιστότοπο. Για να αποφύγετε αυτό, προσθέστε στο .htaccess:

Order Deny, Allow Deny από όλους

Αντιγράφουμε το αρχείο wp-login, το μετονομάζουμε σε οποιοδήποτε περίεργο όνομα, για παράδειγμα poletnormalny.php και μέσα στο αρχείο αλλάζουμε όλες τις επιγραφές wp-login.php σε poletnormalny.php με αυτόματη διόρθωση.
Όλα, τώρα μπορείτε να έχετε πρόσβαση στον πίνακα διαχείρισης μόνο από το αρχείο σας.

Μετά από αυτά τα 3 απλά βήματα, οι τοποθεσίες άρχισαν να πετούν ξανά και ήρθε η ειρήνη.

Λοιπόν, ξαφνικά είναι ενδιαφέρον

Μία από τις επιλογές είναι πώς να δείτε ότι δέχεστε επίθεση. Αυτό μπορεί να φανεί στα αρχεία καταγραφής nginx (για παράδειγμα, εδώ είναι η διαδρομή για το αρχείο Debian /var/log/nginx Access.log).

Εισαγωγή στο XML-RPC

Υπάρχουν πολλοί διαφορετικοί πόροι στον Ιστό που παρέχουν στους χρήστες ορισμένες πληροφορίες. Αυτό δεν σημαίνει συνηθισμένες στατικές σελίδες, αλλά, για παράδειγμα, δεδομένα που ανακτώνται από μια βάση δεδομένων ή αρχεία. Αυτό μπορεί να είναι ένα αρχείο οικονομικών δεδομένων (συναλλαγματικές ισοτιμίες, δεδομένα για τιμές τίτλων), δεδομένα καιρού ή πιο ογκώδεις πληροφορίες - ειδήσεις, άρθρα, μηνύματα από φόρουμ. Τέτοιες πληροφορίες μπορούν να παρουσιαστούν στον επισκέπτη της σελίδας, για παράδειγμα, μέσω μιας φόρμας, ως απάντηση σε ένα αίτημα ή μπορούν να δημιουργούνται δυναμικά κάθε φορά. Αλλά η δυσκολία είναι ότι συχνά τέτοιες πληροφορίες χρειάζονται όχι τόσο από τον τελικό χρήστη - ένα άτομο, αλλά από άλλα συστήματα, προγράμματα που θα χρησιμοποιήσουν αυτά τα δεδομένα για τους υπολογισμούς τους ή άλλες ανάγκες.

Ένα πραγματικό παράδειγμα: μια σελίδα σε έναν τραπεζικό ιστότοπο που εμφανίζει τιμές νομισμάτων. Εάν έχετε πρόσβαση στη σελίδα ως τακτικός χρήστης, μέσω του προγράμματος περιήγησης, βλέπετε όλη τη σχεδίαση της σελίδας, τα banner, τα μενού και άλλες πληροφορίες που «πλαισιώνουν» τον πραγματικό σκοπό της αναζήτησης - τιμές νομισμάτων. Εάν πρέπει να εισαγάγετε αυτές τις προσφορές στο ηλεκτρονικό σας κατάστημα, τότε δεν μένει τίποτα άλλο από το να επιλέξετε χειροκίνητα τα απαραίτητα δεδομένα και να τα μεταφέρετε στον ιστότοπό σας μέσω του προχείρου. Και αυτό πρέπει να το κάνετε κάθε μέρα. Αλήθεια δεν υπάρχει διέξοδος;

Εάν λύσουμε το πρόβλημα κατά μέτωπο, τότε η λύση προτείνεται αμέσως: το πρόγραμμα (script στον ιστότοπο) που χρειάζεται δεδομένα λαμβάνει τη σελίδα από τον διακομιστή ως "κανονικός χρήστης", αναλύει (αναλύει) τον λαμβανόμενο κώδικα html και εξάγει τις απαραίτητες πληροφορίες από αυτό. Μπορεί να γίνει ή κανονικό κοινή έκφραση, ή με οποιονδήποτε αναλυτή html. Η πολυπλοκότητα της προσέγγισης έγκειται στην αναποτελεσματικότητά της. Πρώτον, για να λάβετε ένα μικρό τμήμα δεδομένων (τα δεδομένα για τα νομίσματα είναι κυριολεκτικά μια ντουζίνα ή δύο χαρακτήρες), πρέπει να λάβετε ολόκληρη τη σελίδα, η οποία είναι τουλάχιστον αρκετές δεκάδες kilobyte. Δεύτερον, με οποιαδήποτε αλλαγή στον κώδικα της σελίδας, για παράδειγμα, έχει αλλάξει η σχεδίαση ή κάτι άλλο, ο αλγόριθμος ανάλυσης μας θα πρέπει να επαναληφθεί. Ναι, και θα επιλέξει τους πόρους αξιοπρεπώς.

Ως εκ τούτου, οι προγραμματιστές κατέληξαν στην απόφαση - είναι απαραίτητο να αναπτυχθεί κάποιο είδος καθολικού μηχανισμού που θα επιτρέπει διαφανή (σε επίπεδο πρωτοκόλλου και μέσο μετάδοσης) και εύκολη ανταλλαγή δεδομένων μεταξύ προγραμμάτων που μπορούν να βρίσκονται οπουδήποτε, να είναι γραμμένα σε οποιαδήποτε γλώσσα και τρέχει κάτω από οποιοδήποτε λειτουργικό σύστημακαι σε οποιαδήποτε πλατφόρμα υλικού. Ένας τέτοιος μηχανισμός ονομάζεται πλέον οι όροι υψηλού προφίλ "Υπηρεσίες Ιστού" (web-service), "SOAP", "service-oriented architecture" (service-oriented architecture). Για την ανταλλαγή δεδομένων, χρησιμοποιούνται ανοιχτά και δοκιμασμένα με χρόνο πρότυπα - το πρωτόκολλο HTTP χρησιμοποιείται για τη μεταφορά μηνυμάτων (αν και μπορούν να χρησιμοποιηθούν άλλα πρωτόκολλα - για παράδειγμα SMTP). Τα ίδια τα δεδομένα (στο παράδειγμά μας - ισοτιμίες) μεταδίδονται συσκευασμένα σε μορφή cross-platform - με τη μορφή εγγράφων XML. Για αυτό, εφευρέθηκε ένα ειδικό πρότυπο - SOAP.

Ναι, τώρα οι υπηρεσίες web, το SOAP και το XML είναι στα χείλη όλων, αρχίζουν να εφαρμόζονται ενεργά και μεγάλες εταιρείες όπως η IBM και η Microsoft κυκλοφορούν νέα προϊόντα που έχουν σχεδιαστεί για να βοηθήσουν στη συνολική υλοποίηση των υπηρεσιών web.

Αλλά! Για το παράδειγμά μας με τις συναλλαγματικές ισοτιμίες που πρέπει να μεταφερθούν από την ιστοσελίδα της τράπεζας στη μηχανή του ηλεκτρονικού καταστήματος, μια τέτοια λύση θα είναι πολύ δύσκολη. Εξάλλου, μόνο η περιγραφή του προτύπου SOAP παίρνει απρεπείς μιάμιση χιλιάδες σελίδες, και δεν είναι μόνο αυτό. Για πρακτική χρήση, θα πρέπει να μάθετε πώς να εργάζεστε με βιβλιοθήκες και επεκτάσεις τρίτων (ξεκινώντας μόνο με την PHP 5.0 περιλαμβάνει μια βιβλιοθήκη για εργασία με SOAP), να γράφετε εκατοντάδες και χιλιάδες γραμμές του κώδικά σας. Και όλο αυτό για να πάρεις μερικά γράμματα και αριθμούς είναι προφανώς πολύ βαρύ και παράλογο.

Επομένως, υπάρχει ένα ακόμη, με μια έκταση, μπορούμε να πούμε ένα εναλλακτικό πρότυπο για την ανταλλαγή πληροφοριών - XML-RPC. Αναπτύχθηκε με τη συμμετοχή της Microsoft από την UserLand Software Inc και έχει σχεδιαστεί για ενοποιημένη μεταφορά δεδομένων μεταξύ εφαρμογών μέσω Διαδικτύου. Μπορεί να αντικαταστήσει το SOAP κατά τη δημιουργία απλών υπηρεσιών όπου δεν χρειάζονται όλα τα «επιχειρηματικά» χαρακτηριστικά των πραγματικών υπηρεσιών web.

Τι σημαίνει η συντομογραφία XML-RPC; Το RPC σημαίνει Κλήση απομακρυσμένης διαδικασίας - κλήση απομακρυσμένης διαδικασίας. Αυτό σημαίνει ότι η εφαρμογή (είτε μια δέσμη ενεργειών στον διακομιστή είτε μια κανονική εφαρμογή σε υπολογιστή πελάτη) μπορεί να χρησιμοποιήσει με διαφάνεια μια μέθοδο που υλοποιείται και εκτελείται φυσικά σε άλλον υπολογιστή. Η XML χρησιμοποιείται εδώ για να παρέχει μια καθολική μορφή για την περιγραφή των μεταδιδόμενων δεδομένων. Ως μεταφορά, το πρωτόκολλο HTTP χρησιμοποιείται για τη μεταφορά μηνυμάτων, το οποίο σας επιτρέπει να ανταλλάσσετε ελεύθερα δεδομένα μέσω οποιωνδήποτε συσκευών δικτύου - δρομολογητές, τείχη προστασίας, διακομιστές μεσολάβησης.

Και έτσι, για να το χρησιμοποιήσετε, πρέπει να έχετε: έναν διακομιστή XML-RPC που παρέχει μία ή περισσότερες μεθόδους, έναν πελάτη XML-RPC που μπορεί να σχηματίσει ένα σωστό αίτημα και να επεξεργαστεί την απόκριση διακομιστή και επίσης να γνωρίζει τις απαραίτητες παραμέτρους διακομιστή για την επιτυχία λειτουργία - διεύθυνση, όνομα μεθόδου και περασμένες παράμετροι.

Όλη η εργασία με το XML-RPC πραγματοποιείται στη λειτουργία "αίτημα-απόκριση", αυτή είναι μια από τις διαφορές μεταξύ της τεχνολογίας και του προτύπου SOAP, όπου υπάρχουν και οι έννοιες των συναλλαγών και η δυνατότητα πραγματοποίησης αναβαλλόμενων κλήσεων (όταν ο διακομιστής αποθηκεύει το αίτημα και απαντά σε αυτό σε μια συγκεκριμένη στιγμή στο μέλλον). Αυτά τα Επιπρόσθετα χαρακτηριστικάπιο χρήσιμα για ισχυρές εταιρικές υπηρεσίες, περιπλέκουν πολύ την ανάπτυξη και την υποστήριξη διακομιστών και θέτουν πρόσθετες απαιτήσεις στους προγραμματιστές λύσεων πελατών.

Η διαδικασία για την εργασία με XML-RPC ξεκινά με το σχηματισμό ενός αιτήματος. Ένα τυπικό αίτημα μοιάζει με αυτό:

POST/RPC2 HTTP/1.0
User-Agent: eshop-test/1.1.1 (FreeBSD)
Κεντρικός υπολογιστής: server.localnet.com
Τύπος περιεχομένου: κείμενο/xml
μήκος περιεχομένου: 172

Μέθοδος ελέγχου
Γεια σας XML-RPC!

Οι πρώτες γραμμές σχηματίζουν την τυπική κεφαλίδα αιτήματος HTTP POST. Οι απαιτούμενες παράμετροι περιλαμβάνουν τον κεντρικό υπολογιστή, τον τύπο δεδομένων (τύπος MIME), ο οποίος πρέπει να είναι κείμενο/xml και το μήκος του μηνύματος. Το πρότυπο αναφέρει επίσης ότι το πεδίο User-Agent πρέπει να συμπληρωθεί, αλλά μπορεί να περιέχει μια αυθαίρετη τιμή.

Στη συνέχεια ακολουθεί η κανονική κεφαλίδα του εγγράφου XML. Στοιχείο ρίζας του αιτήματος - , μπορεί να υπάρχει μόνο ένας και δεν μπορεί να περιέχει τέτοιους κόμβους όπως παιδιά. Αυτό σημαίνει ότι μόνο μία μέθοδος στον διακομιστή μπορεί να κληθεί ανά αίτημα.

Γραμμή Μέθοδος ελέγχουυποδηλώνει ότι καλούμε μια μέθοδο που ονομάζεται TestMetod. Εάν είναι απαραίτητο, εδώ μπορείτε να καθορίσετε το όνομα του προγράμματος ή της ενότητας που περιέχει τη μέθοδο, καθώς και τη διαδρομή προς αυτήν. Αν και η προδιαγραφή XML-RPC επιβάλλει ορισμένους περιορισμούς στο σύνολο χαρακτήρων που μπορούν να χρησιμοποιηθούν για τον προσδιορισμό μιας μεθόδου, ο τρόπος ερμηνείας τους εξαρτάται εξ ολοκλήρου από την υλοποίηση του διακομιστή.

Στη συνέχεια, ορίζονται οι περασμένες παράμετροι. Για αυτό, η ενότητα Το οποίο μπορεί να περιέχει έναν αυθαίρετο αριθμό υποστοιχείων Τα οποία περιέχουν την παράμετρο που περιγράφεται από την ετικέτα . Θα εξετάσουμε τις παραμέτρους και τους τύπους δεδομένων λίγο πιο πέρα. Στην έκδοσή μας, η μέθοδος μεταβιβάζεται με μία παράμετρο συμβολοσειράς, που περικλείεται στην ετικέτα .

Μετά την περιγραφή όλων των παραμέτρων, ακολουθούν οι ετικέτες κλεισίματος. Το αίτημα και η απάντηση στο XML-RPC είναι κανονικά έγγραφα XML, επομένως όλες οι ετικέτες πρέπει να είναι κλειστές. Αλλά δεν υπάρχουν μεμονωμένες ετικέτες στο XML-RPC, αν και υπάρχουν στο πρότυπο XML.

Τώρα ας αναλύσουμε την απόκριση του διακομιστή. Η κεφαλίδα απόκρισης HTTP είναι κανονική, εάν το αίτημα διεκπεραιωθεί με επιτυχία, ο διακομιστής επιστρέφει μια απάντηση HTTP/1.1 200 OK. Όπως και στο αίτημα, θα πρέπει να καθορίσετε σωστά τον τύπο MIME, το μήκος του μηνύματος και την ημερομηνία δημιουργίας της απάντησης.

Το σώμα της απάντησης είναι το εξής:

αληθής

Τώρα αντί για την ετικέτα ρίζας υποδεικνύεται η ετικέτα , το οποίο περιέχει αμέσως τα αποτελέσματα της επεξεργασίας του αιτήματος. Δυστυχώς, το όνομα της μεθόδου δεν μεταβιβάζεται στην απόκριση, επομένως θα πρέπει να το αποθηκεύσετε στην πλευρά του πελάτη για να αποφύγετε τη σύγχυση εάν καλούνται ταυτόχρονα διαφορετικές μέθοδοι.

Αν προέκυψε σφάλμα κατά την επεξεργασία του αιτήματός σας, αντί για Η απάντηση θα έχει ένα στοιχείο , στην οποία θα είναι ένθετη η δομή που περιγράφει το σφάλμα. Η περιγραφή του σφάλματος περιέχει έναν αριθμητικό κωδικό σφάλματος και μια περιγραφή κειμένου του σφάλματος.

Τώρα ας ρίξουμε μια γρήγορη ματιά στους τύπους δεδομένων στο XML-RPC. Υπάρχουν 9 τύποι δεδομένων συνολικά - επτά απλοί τύποι και 2 σύνθετοι. Κάθε τύπος περιγράφεται από τη δική του ετικέτα ή σύνολο ετικετών (για σύνθετους τύπους).

Απλοί τύποι:

Ολόκληροι αριθμοί- ετικέτα ή ;

boolean τύπου- ετικέτα , μπορεί να πάρει και τις δύο τιμές 0/1 και true/false.

Συμβολοσειρά ASCII- περιγράφεται με ετικέτα και μπορεί να περιέχει μια αυθαίρετη συμβολοσειρά χαρακτήρων.

Αριθμοί κινητής υποδιαστολής- ετικέτα , μπορεί επίσης να περιέχει το σύμβολο ενός αριθμού, κλασματικό μέροςχωρίζονται με μια τελεία.

ημερομηνία και ώρα- περιγράφεται με ετικέτα και πρέπει να συμμορφώνεται με τη μορφή iso8601. Για περαιτέρω επεξεργασία σε σενάρια, αυτή η μορφή είναι λίγο άβολη, επομένως μετατρέπεται πάντα κατά την αποστολή / λήψη ενός αιτήματος. Αυτό μπορεί να γίνει από μια ειδική λειτουργία στη βιβλιοθήκη, ή εάν δεν υπάρχει, ο προγραμματιστής πρέπει να μετατρέψει την ημερομηνία με μη αυτόματο τρόπο.

Ο τελευταίος απλός τύπος είναι base64 κωδικοποιημένη συμβολοσειρά, το οποίο περιγράφεται από την ετικέτα . Αυτός ο τύπος είναι καθολικός, μπορεί να χρησιμοποιηθεί για τη μεταφορά οποιωνδήποτε δεδομένων μεταξύ του πελάτη και του διακομιστή, αν και ο όγκος των δεδομένων που μεταφέρονται λόγω αυτής της κωδικοποίησης αυξάνεται. Αλλά αυτό είναι συνέπεια της κειμενικής φύσης του πρωτοκόλλου και Μορφή XMLσυγκεκριμένα.

Οι σύνθετοι τύποι αντιπροσωπεύονται από δομές και πίνακες. Δομή που ορίζεται από ριζικό στοιχείο , το οποίο μπορεί να περιέχει έναν αυθαίρετο αριθμό στοιχείων , ορίζοντας κάθε μέλος της δομής. Ένα μέλος δομής περιγράφεται από δύο ετικέτες: η πρώτη, , περιγράφει το όνομα του μέλους, δεύτερον, , περιέχει την τιμή του μέλους (μαζί με μια ετικέτα που περιγράφει τον τύπο δεδομένων).

Οι πίνακες δεν έχουν ονόματα και περιγράφονται από μια ετικέτα , το οποίο περιέχει ένα στοιχείο και ένα ή περισσότερα θυγατρικά στοιχεία , όπου καθορίζονται συγκεκριμένα δεδομένα. Ένας πίνακας μπορεί να περιέχει οποιουσδήποτε άλλους τύπους με οποιαδήποτε σειρά, καθώς και άλλους πίνακες, οι οποίοι σας επιτρέπουν να περιγράφετε πολυδιάστατους πίνακες. Μπορείτε επίσης να περιγράψετε μια σειρά από δομές. Αλλά το γεγονός ότι ένας πίνακας δεν έχει όνομα περιπλέκει τη χρήση του σε ορισμένες περιπτώσεις· για να μεταφερθούν σύνθετα δεδομένα, πρέπει να συσκευάζονται επανειλημμένα σε άλλους τύπους (για παράδειγμα, για να μεταφέρετε πολλούς πίνακες, μπορείτε να συσκευάσετε ξεχωριστά κάθε πίνακα σε μια δομή , και στη συνέχεια δημιουργήστε έναν πίνακα από αυτές τις δομές).

Φυσικά, κάποιος θα πει ότι μια τέτοια λίστα τύπων δεδομένων είναι πολύ φτωχή και «δεν σας επιτρέπει να επεκταθείτε». Ναι, εάν χρειάζεται να μεταφέρετε σύνθετα αντικείμενα ή μεγάλες ποσότητες δεδομένων, τότε είναι καλύτερο να χρησιμοποιήσετε το SOAP. Και για μικρές, μη απαιτητικές εφαρμογές, το XML-RPC είναι αρκετά κατάλληλο, επιπλέον, πολύ συχνά ακόμη και οι δυνατότητές του αποδεικνύονται υπερβολικές! Αν σκεφτείτε την ευκολία ανάπτυξης, τον πολύ μεγάλο αριθμό βιβλιοθηκών για σχεδόν οποιαδήποτε γλώσσα και πλατφόρμα και την ευρεία υποστήριξη στην PHP, τότε το XML-RPC συχνά απλά δεν έχει ανταγωνιστές. Αν και είναι αδύνατο να το συμβουλεύσετε αμέσως ως καθολική λύση - σε κάθε περίπτωση είναι απαραίτητο να αποφασίσετε ανάλογα με τις περιστάσεις.

Η τεχνολογία XML-RPC χρησιμοποιείται στο σύστημα WordPress για διάφορες ωραίες λειτουργίες όπως pingbacks, trackbacks, απομακρυσμένη διαχείριση ιστότοπου χωρίς σύνδεση στον πίνακα διαχείρισης κ.λπ. Δυστυχώς, οι εισβολείς μπορούν να το χρησιμοποιήσουν για επιθέσεις DDoS σε ιστότοπους. Δηλαδή, δημιουργείτε όμορφα ενδιαφέροντα έργα WP για τον εαυτό σας ή για παραγγελία, και ταυτόχρονα, χωρίς να υποψιάζεστε τίποτα, μπορείτε να είστε μέρος ενός botnet DDoS. Συνδέοντας δεκάδες και εκατοντάδες χιλιάδες ιστότοπους, οι κακοί άνθρωποι δημιουργούν μια ισχυρή επίθεση στο θύμα τους. Αν και ο ιστότοπός σας υποφέρει επίσης, επειδή. το φορτίο πηγαίνει στο hosting όπου φιλοξενείται.

Απόδειξη μιας τέτοιας κακής δραστηριότητας μπορεί να είναι αρχεία καταγραφής διακομιστή (access.log στο nginx) που περιέχουν τις ακόλουθες γραμμές:

103.238.80.27 - - "POST /wp-login.php HTTP/1.0" 200 5791 "-" "-"

Αλλά πίσω στην ευπάθεια XML-RPC. Οπτικά, εκδηλώνεται με το αργό άνοιγμα των τοποθεσιών στον διακομιστή σας ή την αδυναμία να τους φορτώσετε καθόλου (502 Bad Gateway error). Η τεχνική υποστήριξη του οικοδεσπότη μου FASTVPS επιβεβαίωσε τις εικασίες μου και συμβούλεψε:

1. Ενημερώστε το WordPress σε τελευταία έκδοσημαζί με πρόσθετα. Γενικά, αν ακολουθήσετε, ίσως έχετε διαβάσει για την ανάγκη εγκατάστασης της πιο πρόσφατης έκδοσης 4.2.3. λόγω επικρίσεων ασφαλείας (όπως ΠΡΟΗΓΟΥΜΕΝΕΣ ΕΚΔΟΣΕΙΣ). Εν ολίγοις, η ενημέρωση είναι καλή.

1. Εγκαταστήστε το πρόσθετο Disable XML-RPC Pingback.

Απενεργοποίηση XML-RPC στο WordPress

Προηγουμένως, μου φαίνεται, η επιλογή ενεργοποίησης / απενεργοποίησης XML-RPC ήταν κάπου στις ρυθμίσεις του συστήματος, αλλά τώρα δεν μπορώ να τη βρω εκεί. Επομένως, ο ευκολότερος τρόπος για να απαλλαγείτε από αυτό είναι να χρησιμοποιήσετε το κατάλληλο πρόσθετο.

Βρείτε και πραγματοποιήστε λήψη του Disable XML-RPC Pingback ή εγκαθιστώντας το απευθείας από τον πίνακα διαχείρισης του συστήματος. Δεν χρειάζεται να διαμορφώσετε τίποτα επιπλέον, η μονάδα ξεκινά να λειτουργεί αμέσως. Καταργεί τις μεθόδους pingback.ping και pingback.extensions.getPingbacks από τη διεπαφή XML-RPC. Καταργεί επίσης το X-Pingback από τις κεφαλίδες HTTP.

Σε ένα από τα ιστολόγια, βρήκα μερικές ακόμη επιλογές για την κατάργηση της απενεργοποίησης XML-RPC.

1. Απενεργοποιήστε το XML-RPC στο πρότυπο.

Για να γίνει αυτό, προστίθεται μια γραμμή στο αρχείο functions.php του θέματος:

Order Deny, Allow Deny από όλους

Προσωπικά δεν χρησιμοποίησα τις δύο τελευταίες μεθόδους, γιατί. Συνέδεσα το πρόσθετο Disable XML-RPC Pingback - νομίζω ότι θα είναι αρκετό. Μόνο για όσους δεν τους αρέσουν οι επιπλέον ρυθμίσεις, πρόσφερα εναλλακτικές επιλογές.