Vô Hiệu XML-RPC Bảo Mật WordPress

XML-RPC là gì ?

XML-RPC là sử dụng giao thức WebService (soap) dùng xml để mã hóa và trao đổi dữ liệu (Remote Procedure Call XML) và có thể hỗ trợ các API của các CMS như WordPress API, Blogger API, Movable API, Pingback API, MetaWeblog API,…
Từ khi XML-RPC sử dụng phổ biến thì các nguy cơ tấn công dò mật khẩu và lợi dung gửi số lượng lớn request trên WordPress đến máy chủ như một hình thức tấn công DDos.

Các pingback XML-RPC có thể được sử dụng để khởi động các cuộc tấn công DDos trên các trang web WordPress khác. Biện pháp bảo mật này tắt pingback XML-RPC cho toàn bộ trang web WordPress và cũng vô hiệu hóa pingback cho các bài đăng được tạo trước đó.

Vô Hiệu XML-RPC Bảo Mật WordPress

Đối với hosting WordPress mình có thể sử dụng chức năng của WordPress Toolkit khi sử dụng Hosting Plesk hoặc plugin iThemes Security để tắt XML-RPC

Sử dụng WordPress Toolkit để tắt XML-RPC (Hosting Plesk)

Đăng nhập vào công cụ quản tri hosting Plesk →  Check Security (sau khi upload hoặc cài đặt WordPress xong):

Turn off XML-RPC pingbacks : Tính năng XML-RPC của WordPress cho phép các dịch vụ bên ngoài truy cập và sửa đổi nội dung trên trang web. Ví dụ phổ biến về các dịch vụ sử dụng XML-RPC là plugin Jetpack, ứng dụng di động WordPress và pingback. Nếu trang web không sử dụng dịch vụ từ  XML-RPC, hãy “Tắt XML-RPC” khi vô hiệu hóa XML-RPC ngăn chặn sử dụng tính năng này để tấn công trang web.

Sử dụng plugins iThemes Security để tắt XML-RPC

Cài đặt plugins iThemes Security:

Vô Hiệu XML-RPC Bảo Mật WordPress

Cấu hình iThemes Security

Click vào Security, Tại WordPress Tweaks, các bạn click vào Configure settings

Vô Hiệu XML-RPC Bảo Mật WordPress

Tại mục XML-RPC: các bạn chọn Disable XML-RPC

Vô Hiệu XML-RPC Bảo Mật WordPress

  • Disable XML-RPC: XML-RPC được tắt tại website. Cài đặt này được khuyến cáo nếu sử dụng Jetpack, các ứng dụng WordPress Mobile, pingback và các dịch vụ khác sử dụng XML-RPC sẽ không hoạt động.
  • Disable Pingbacks: Chỉ tắt pingback. Các tính năng XML-RPC khác sẽ hoạt động bình thường. Cài đặt này cho phép các tính năng của Jetpack hoặc ứng dụng WordPress Mobile hoạt động.
  • Enable XML-RPC: XML-RPC được kích hoạt hoàn toàn và sẽ hoạt động bình thường. Chỉ sử dụng cài đặt này nếu website phải sử dụng XML-RPC không hạn chế.
Hãy cho bài viết 1 Like nhé !
Love
Haha
Wow
Sad
Angry
You have reacted on "Vô Hiệu XML-RPC Bảo Mật WordPress" A few seconds ago