In de begindagen van WordPress waren er functies waarmee je op afstand met je website kon communiceren. Deze zelfde kenmerken maakten het mogelijk een community op te bouwen door andere bloggers toegang te geven jouw blog. Het belangrijkste instrument dat hiervoor wordt gebruikt is “ XML-RPC .
« XML-RPC "Of" XML Procedure Call Remote Geeft grote kracht aan WordPress:
- Verbinding maken met uw site met een SmartPhone
- TrackBacks en Pingbacks aan jouw blog
- Geavanceerd gebruik van Jetpack
Maar er is een probleem met de " XML-RPC ", die u moet oplossen om de veiligheid van uw WordPress blog.
Hoe XML-RPC wordt gebruikt op WordPress
Laten we teruggaan in de vroege dagen van Bloggen "(Goed voor WordPress), de meeste auteurs op internet gebruikt dial-up Op het internet surfen. Het was moeilijk om artikelen te schrijven en ze online te verzenden. De oplossing was om offline naar uw computer te schrijven en " copier / coller Uw artikel Mensen die deze methode gebruikten, vonden het bijzonder moeilijk omdat hun tekst vaak buitenlandse codes had, zelfs als het document in HTML-formaat was opgeslagen.
Blogger heeft een applicatie-programmeerinterface gemaakt (API) om andere ontwikkelaars toegang te geven tot Blogger-blogs. Het was voldoende om de naam van de website op te geven, waardoor gebruikers offline artikelen konden maken en vervolgens via XML-RPC verbinding konden maken met Blogger API. Andere blogsystemen volgden, en er was uiteindelijk een MetaWeblogAPI die de toegang standaard standaardiseerde.
Na tien jaar staan de meeste van onze applicaties op onze telefoons en tablets. Een van de dingen die mensen graag met hun telefoon doen, is posten op hun WordPress blog. In 2008-09 werd Automattic gedwongen om een WordPress-applicatie te maken voor zowat elk mobiel besturingssysteem (hetzelfde Blackberry en Windows Mobile).
Met deze applicaties konden via de XML-RPC-interface uw WordPress.com-inloggegevens worden gebruikt om verbinding te maken met een WordPress-site waarvoor u bepaalde toegangsrechten hebt.
Waarom zouden we XML-RPC moeten vergeten?
Compatibiliteit met de XML-RPC Maakt sinds de eerste dag deel uit van WordPress. WordPress 2.6 werd uitgebracht op 15 juli 2008 en de activering van de " XML-RPC Is toegevoegd aan WordPress-instellingen en is standaard ingesteld op ' af .
Een week later werd een versie van WordPress voor iPhone uitgebracht en werd gebruikers gevraagd om de functie te activeren. Vier jaar nadat de iPhone-app lid werd van de familie, activeerde WordPress 3.5 de " XML-RPC .
De belangrijkste zwakke punten van XML-RPC zijn:
- Brute force-aanvallen: aanvallers proberen in te loggen op WordPress met xmlrpc.php met zoveel mogelijk combinaties van gebruikersnaam en wachtwoord. Er zijn geen proefbeperkingen. Een methode in xmlrpc.php stelt de aanvaller in staat om een enkel commando te gebruiken (system.multicall) Om honderden wachtwoorden te raden.
- Denial of Service-aanvallen via Pingback
Gemak versus WordPress-beveiliging
Dus hier gaan we weer. De moderne wereld is diep saai met zijn compromissen.
Als je zeker wilt zijn dat niemand een bom op je boot meeneemt, haal je hem gewoon door de metaaldetectoren. Als u uw auto wilt beschermen tijdens het winkelen, doe dan de deuren op slot en sluit de ramen. U kunt niet alleen vertrouwen op het wachtwoord van de website om het te beschermen (bieden autoruiten voldoende bescherming?), Vooral als u Jetpack of mobiele apps gebruikt.
Hoe XML-RPC op WordPress uit te schakelen
Je bent dus afhankelijk geworden van al deze tools die op hun beurt weer afhankelijk zijn van XML-RPC. Ik begrijp dat je "XML-RPC" zelfs niet voor een korte tijd wilt uitschakelen.
Hier zijn echter een paar plug-ins die u hierbij kunnen helpen:
- Stop met XML-RPC Attack : geeft Jetpack en andere Automattic-tools alleen toegang tot xmlrpc.php via .htaccess.
- Beheer XML-RPC Publishing: zet gewoon de oude optie voor publiceren op afstand terug naar de schrijfopties.
- iThemes Security, Anti-Malware Beveiliging en Brute-Force Firewall et Alles in één WP-beveiliging en firewallDeze algemene beveiligingshulpmiddelen omvatten brute force-bescherming in gratis versies. Ze kijken uit naar herhaalde inlogpogingen met of zonder xmlrpc.php en beschermen u tegen vragen die uw site proberen te breken.
REST (en OAuth) te hulp
Nu weet je misschien dat WordPress-ontwikkelaars zich wenden tot de REST-oplossing. De ontwikkelaars van het REST API-team hadden een paar problemen om zich voor te bereiden, inclusief met de authenticatiemunt die bedoeld was om het XML-RPC-probleem op te lossen. Wanneer dit eindelijk is geïmplementeerd (momenteel gepland voor WordPress 4.7 aan het einde van 2016), hoeft u XML-RPC niet te gebruiken om verbinding te maken met software zoals JetPack.
In plaats daarvan authenticeert u via het OAuth-protocol. Als u niet weet wat een OAuth-protocol is, onthoud dan wat er gebeurt wanneer een website u vraagt in te loggen met Google, Facebook of zelfs Twitter. Over het algemeen is op deze platforms het gebruikte protocol OAuth.
WordPress REST API-test
Zoals ik al eerder zei, is de REST API nog niet geïntegreerd in de kern van WordPress, en zal dat over maanden niet zijn. Vandaag kunt u het testen op uw testomgevingen:
De Rest API zal zeker de toekomst van WordPress zijn. We hebben al verschillende tutorials geschreven over de laatste die u ideeën zullen geven over hoe u kunt beginnen met de implementatie ervan:
- Hoe u weet wanneer u de Rest API moet gebruiken
- Hoe de Rest API te gebruiken
- 7 effectieve implementaties van de Rest API
- Hoe de WordPress HTTP API te gebruiken
Dat was het voor deze tutorial. Ik hoop dat u hierdoor beter geïnformeerd bent over de risico's die verbonden zijn aan het gebruik van XML-RPC. Aarzel niet om ons vragen te stellen in de formulier opmerkingen.
