I de første dagene av WordPress var det funksjoner som tillot deg å kommunisere med nettstedet ditt eksternt. De samme egenskapene gjorde det mulig å bygge et fellesskap ved å la andre bloggere få tilgang bloggen din. Hovedverktøyet som brukes til dette formålet er " XML-RPC '.
« XML-RPC "Eller" XML Remote Procedure Call Gir stor kraft til WordPress:
- Koble til nettstedet ditt med en SmartPhone
- TrackBacks og Pingbacks på bloggen din
- Avansert bruk av Jetpack
Men det er et problem med " XML-RPC ", som du må løse for å bevare sikkerheten til din WordPress blog.
Hvordan XML-RPC brukes på WordPress
La oss gå tilbake i de første dagene av Blogging "(lenge før WordPress), de fleste forfattere på Internett brukt dial-up Å surfe på nettet. Det var vanskelig å skrive artikler og sende dem på nettet. Løsningen var å skrive til datamaskinen din offline og " kopimaskin / coller Artikkelen din. Folk som brukte denne metoden synes det var spesielt vanskelig fordi teksten ofte hadde utenlandske koder, selv om dokumentet ble lagret i HTML-format.
Blogger har opprettet et applikasjonsprogrammeringsgrensesnitt (API) for å la andre utviklere få tilgang til Blogger-blogger. Det var nok å spesifisere navnet på nettstedet, som tillot brukere å lage artikler offline og deretter koble til Blogger API via XML-RPC. Andre bloggesystemer fulgte etter, og det var til slutt en MetaWeblogAPI som standardiserte tilgang som standard.
Etter ti år er de fleste av applikasjonene våre på våre telefoner og nettbrett. En av tingene folk liker å gjøre med telefonene sine, er å legge ut på deres WordPress blog. I 2008-09 ble Automattic tvunget til å lage en WordPress-applikasjon for omtrent alle mobile operativsystemer (samme Blackberry og Windows Mobile).
Disse applikasjonene tillot gjennom XML-RPC-grensesnittet å bruke WordPress.com-legitimasjonen din til å koble til et WordPress-nettsted der du har visse tilgangsrettigheter.
Hvorfor skal vi glemme XML-RPC?
Kompatibilitet med XML-RPC Har vært en del av WordPress siden første dag. WordPress 2.6 ble utgitt 15. juli 2008, og aktivering av " XML-RPC Har blitt lagt til i WordPress-innstillinger, og er standard til " Av '.
En uke senere ble en versjon av WordPress for iPhone gitt ut, og brukerne ble bedt om å aktivere funksjonen. Fire år etter at iPhone-appen ble med i familien, aktiverte WordPress 3.5 " XML-RPC '.
De viktigste svakhetene forbundet med XML-RPC er:
- Brute force-angrep: Angripere prøver å logge på WordPress ved hjelp av xmlrpc.php med så mange brukernavn og passordkombinasjoner. Det er ingen prøvebegrensninger. En metode i xmlrpc.php lar angriperen bruke en enkelt kommando (system.multicall) Å gjette hundrevis av passord.
- Denial of Service angrep via Pingback
Convenience vs. WordPress Security
Så, her går vi igjen. Den moderne verden er dypt kjedelig med sine kompromisser.
Hvis du vil være sikker på at ingen tar med en bombe på båten din, kjører du den bare gjennom metalldetektorene. Hvis du vil beskytte bilen din mens du handler, må du låse dørene og lukke vinduene. Du kan ikke bare stole på nettstedspassordet for å beskytte det (gir bilvinduer tilstrekkelig beskyttelse?), Spesielt hvis du bruker Jetpack eller mobile applikasjoner.
Hvordan deaktivere XML-RPC på WordPress
Så du har blitt avhengig av alle disse verktøyene som igjen er avhengige av XML-RPC. Jeg forstår at du ikke egentlig vil slå av "XML-RPC" selv for en liten stund.
Her er imidlertid noen plugins som hjelper deg med å gjøre det:
- Stopp XML-RPC angrep : tillater bare Jetpack og andre Automattic-verktøy å få tilgang til xmlrpc.php gjennom .htaccess.
- Kontroll XML-RPC Publishing: tilbakestiller ganske enkelt det gamle eksterne publiseringsalternativet til skrivealternativene.
- iThemes Security, Anti-Malware Security og Brute-Force brannmur et Alt i ett WP-sikkerhet og brannmurDisse generelle sikkerhetsverktøyene inkluderer beskyttelse mot brute force i gratis versjoner. De ser etter gjentatte påloggingsforsøk med eller uten xmlrpc.php og beskytter deg mot spørsmål som prøver å ødelegge nettstedet ditt.
REST (og OAuth) til unnsetning
Nå vet du kanskje at WordPress-utviklere vender seg til REST-løsningen. Utviklerne på REST API-teamet hadde noen problemer med å gjøre seg klare, blant annet med autentiseringsmynten beregnet på å fikse XML-RPC-problemet. Når dette endelig er implementert (for tiden planlagt for WordPress 4.7 på slutten av 2016), trenger du ikke å bruke XML-RPC for å koble til programvare som JetPack.
I stedet vil du autentisere via OAuth-protokollen. Hvis du ikke vet hva en OAuth-protokoll er, husk hva som skjer når et nettsted ber deg om å logge på med Google, Facebook eller til og med Twitter. Vanligvis på disse plattformene er protokollen som brukes OAuth.
WordPress REST API-test
Som jeg sa tidligere, er REST API ennå ikke integrert i kjernen til WordPress, og vil ikke være i flere måneder. I dag kan du begynne å teste den i testmiljøene dine:
Rest API vil definitivt være fremtiden for WordPress. Vi har allerede skrevet flere veiledninger om sistnevnte som vil gi deg ideer om hvordan du kan begynne å implementere det:
- Hvordan vite når du skal bruke Rest API
- Hvordan bruke Rest API
- 7 effektive implementeringer av Rest API
- Hvordan bruke WordPress HTTP API
Det var alt for denne opplæringen. Jeg håper du vil bli bedre informert om risikoene forbundet med bruk av XML-RPC. Ikke nøl med å stille oss spørsmål i skjema kommentarer.
