Disable XML-RPC-API for WordPress

Если вы какое-то время управляли сайтом WordPress, вы, вероятно, слышали ужасные истории о том, что XML-RPC открыт для хакеров или ботов, взломавших ваш логин. Да, именно это подтолкнуло меня попробовать отключить XML-RPC-API для WordPress. Это простой плагин, который по сути отключает интерфейс XML-RPC, на который нацелено множество атак, поэтому ваш сайт не бросается на линию огня. Я не был уверен, насколько это важно, пока не увидел, что загрузка ЦП моего сервера упала после его настройки, плюс я почувствовал себя лучше, зная, что еще одна дверь плотно заперта.

Хорошие вещи

Что меня действительно поразило, так это простота настройки. Никаких сложных конфигураций или странных разрешений. Просто установите, активируйте, и доступ Boom-XML-RPC отключится. Мне также понравилось, что он не просто слепо блокировал xmlrpc.php. Если хотите, вы можете внести IP-адреса в белый список, что удобно, если вы используете удаленные приложения или законные службы, которым все еще нужен XML-RPC. Кроме того, он очищает ссылки pingback, которые не только раздражают, но и могут быть использованы для DDoS-атак, так что это приятный дополнительный бонус.

Еще одна интересная вещь — возможность переименовать фрагмент XML-RPC или отключить JSON REST API. Лично я не особо с этим возился, но приятно иметь эти дополнения для большего контроля над тем, как ваш сайт взаимодействует с внешним миром. И скрываете свою версию WordPress? Всегда полезно оставить любопытных хакеров в догадках.

Не очень хорошо

Вот в чем дело: этот плагин довольно простой. Здесь нет яркой приборной панели или постоянных напоминаний, которые некоторым могут показаться слишком сдержанными. Если вы в значительной степени полагаетесь на XML-RPC для таких вещей, как Jetpack или некоторые мобильные приложения, это может нарушить ваш рабочий процесс, если вы не возитесь с белым списком. Кроме того, мало информации о том, кто это сделал и как часто оно обновляется, что поначалу заставило меня остановиться. Плагины безопасности необходимо поддерживать в рабочем состоянии, иначе они рискуют стать бесполезными, поэтому я бы хотел видеть там больше прозрачности, прежде чем полагаться на них в долгосрочной перспективе.

Наконец, у него нет бесплатной пробной или премиум-версии, но, честно говоря, для того, что он делает, это нормально.

Итог

Если у вас есть сайт WordPress и вам нужен быстрый и простой способ остановить атаки XML-RPC, стоит воспользоваться функцией «Отключить XML-RPC-API для WordPress». Это бесплатно, просто, и как только он будет включен, вы, вероятно, сможете забыть о нем, пока ваш сервер еще немного остынет. Только не ждите, что он заменит полный пакет безопасности или поможет, если вам нужен XML-RPC по законным причинам. Для большинства людей, особенно для тех, кто не использует удаленные приложения WordPress, этот плагин справится со своей задачей и сделает все немного безопаснее без суеты.