WordPress to jedna z najpopularniejszych platform do tworzenia stron internetowych, prawie 43% wszystkich stron internetowych na świecie używa WordPressa i z powodu swojej popularności staje się on częstym celem potencjalnych ataków. Jednym z kluczowych kroków w zabezpieczaniu swojej strony opartej na WordPressie jest wyłączenie niektórych funkcji, które mogą stanowić potencjalne ryzyko, takich jak plik XML-RPC.

Czym jest plik XML-RPC w WordPressie?

Plik XML-RPC w WordPressie umożliwia zdalne wywoływanie procedur, co jest przydatne w niektórych sytuacjach, umożliwia np. zarządzanie naszym blogiem za pomocą aplikacji mobilnej. Niestety plik ten może również otworzyć drzwi do ataków, zwłaszcza w przypadku nieaktualnych instalacji WordPressa.

Dlaczego wyłączenie / zablokowanie pliku XML-RPC jest ważne?

Wyłączenie pliku XML-RPC może znacząco poprawić bezpieczeństwo Twojej strony na WordPress. Atakujący często wykorzystują ten plik do prób ataków typu brute force, polegających na wielokrotnych próbach logowania, co może prowadzić do nieautoryzowanego dostępu do Twojej witryny.

Pod tym linkiem możesz sprawdzić obecny stan pliku XML-RPC na swojej stronie internetowej.

Jak zablokować plik XML-RPC w WordPressie?

Najlepszym sposobem na wyłączenie pliku XML-RPC jest edycja naszego pliku .htaccess i dodanie do niego następującego kodu (w przypadku serwerów Apache)

 <Files xmlrpc.php>
order deny,allow
deny from all
</Files> 

Sprawdź efekty zabezpieczeń

Po dodaniu kodu sprawdź ponownie stan pliku XML-RPC pod tym linkiem, a następnie upewnij się, że wszystkie funkcje twojej strony internetowej działają poprawnie. Przede wszystkim sprawdź, czy proces logowania nie został zakłócony przez wyłączenie pliku XML-RPC.

Podsumowanie

Zabezpieczanie strony WordPress to nie tylko kwestia używania silnych haseł i regularnych aktualizacji. Wyłączenie potencjalnie ryzykownych funkcji, takich jak plik XML-RPC, może znacznie zwiększyć odporność Twojej witryny na ataki. Istotne jest także bezpieczne przesyłanie dostępów do swojej strony. 

Jeśli chcesz być na bieżąco z tematami bezpieczeństwa i optymalizacji stron na WordPress, subskrybuj mój kanał na YouTube: Piotr Kunicki. WordPress bezpieczny i szybki.