In den Anfängen von WordPress gab es Funktionen, die es Ihnen ermöglichten, aus der Ferne mit Ihrer Website zu interagieren. Dieselben Eigenschaften ermöglichten den Aufbau einer Community, indem sie anderen Bloggern den Zugriff ermöglichten Ihr Blog. Das hierfür wichtigste Werkzeug ist „ XML-RPC ".
« XML-RPC "Oder" XML Remote Procedure Call Macht WordPress mächtig:
- Herstellen einer Verbindung zu Ihrer Site mit einem SmartPhone
- TrackBacks und Pingbacks aktiviert Ihr Blog
- Erweiterte Verwendung von Jetpack
Aber es gibt ein Problem mit der " XML-RPC ", die Sie lösen müssen, um die Sicherheit Ihrer zu wahren Wordpress-Blog.
Wie XML-RPC unter WordPress verwendet wird
Lassen Sie uns in den frühen Tagen von zurückgehen Bloggen "(lange vor Wordpress), die meisten Autoren im Internet verwendet Dial-up Im Internet surfen. Es war schwierig, Artikel zu schreiben und online zu senden. Die Lösung bestand darin, offline auf Ihren Computer zu schreiben und " Kopieren / Einfügen Dein Artikel. Personen, die diese Methode verwendeten, fanden es besonders schwierig, da ihr Text häufig Fremdcodes enthielt, auch wenn das Dokument im HTML-Format gespeichert war.
Blogger hat eine Anwendungsprogrammierschnittstelle erstellt (API), damit andere Entwickler auf Blogger-Blogs zugreifen können. Es genügte, den Namen der Website anzugeben, sodass Benutzer Artikel offline erstellen und dann über XML-RPC eine Verbindung zur Blogger-API herstellen konnten. Andere Blogging-Systeme folgten diesem Beispiel, und es gab letztendlich eine MetaWeblogAPI, die den Zugriff standardmäßig standardisierte.
Nach zehn Jahren befinden sich die meisten unserer Anwendungen auf unseren Telefonen und Tablets. Eines der Dinge, die die Leute gerne mit ihren Telefonen machen, ist das Posten auf ihrem Wordpress-Blog. In den Jahren 2008-09 war Automattic gezwungen, eine WordPress-Anwendung für fast jedes mobile Betriebssystem zu erstellen (gleiche Blackberry und Windows Mobile).
Diese Anwendungen ermöglichten es über die XML-RPC-Schnittstelle, Ihre WordPress.com-Anmeldeinformationen zu verwenden, um eine Verbindung zu einer WordPress-Site herzustellen, auf der Sie bestimmte Zugriffsrechte haben.
Warum sollten wir XML-RPC vergessen?
Kompatibilität mit dem XML-RPC Ist seit dem ersten Tag Teil von WordPress. WordPress 2.6 wurde am 15. Juli 2008 veröffentlicht und die Aktivierung der " XML-RPC Wurde zu den WordPress-Einstellungen hinzugefügt und ist standardmäßig " Off ".
Eine Woche später wurde eine Version von WordPress für iPhone veröffentlicht und die Benutzer wurden gebeten, die Funktion zu aktivieren. Vier Jahre nachdem die iPhone App der Familie beigetreten war, aktivierte WordPress 3.5 die " XML-RPC ".
Die Hauptschwächen von XML-RPC sind:
- Brute-Force-Angriffe: Angreifer versuchen, sich mit xmlrpc.php mit möglichst vielen Kombinationen aus Benutzername und Passwort bei WordPress anzumelden. Es gibt keine Testbeschränkungen. Eine Methode in xmlrpc.php ermöglicht es dem Angreifer, einen einzelnen Befehl zu verwenden (system.multicall), Um Hunderte von Passwörtern zu erraten.
- Denial-of-Service-Angriffe über Pingback
Convenience vs. WordPress-Sicherheit
Also los geht's wieder. Die moderne Welt ist mit ihren Kompromissen zutiefst langweilig.
Wenn Sie sicherstellen möchten, dass niemand eine Bombe auf Ihr Boot bringt, lassen Sie sie einfach durch die Metalldetektoren laufen. Wenn Sie Ihr Auto beim Einkaufen schützen möchten, schließen Sie die Türen ab und schließen Sie die Fenster. Sie können sich nicht nur auf das Passwort der Website verlassen, um es zu schützen (bieten Autofenster ausreichenden Schutz?), Vor allem, wenn Sie Jetpack oder mobile Anwendungen nutzen.
So deaktivieren Sie XML-RPC unter WordPress
Sie sind also auf all diese Tools angewiesen, die wiederum von XML-RPC abhängig sind. Ich verstehe, dass Sie "XML-RPC" nicht einmal für eine kurze Zeit ausschalten möchten.
Hier sind jedoch einige Plugins, die Ihnen dabei helfen werden:
- Stoppen Sie XML-RPC-Angriff : Ermöglicht Jetpack und anderen Automattic-Tools nur den Zugriff auf xmlrpc.php über .htaccess.
- Steuer XML-RPC-Publishing: setzt einfach die alte Remote-Veröffentlichungsoption auf die Schreiboptionen zurück.
- iThemes Security, Anti-Malware Sicherheits und Brute-Force-Firewall et Alles in einem WP Security & FirewallZu diesen allgemeinen Sicherheitstools gehört der Brute-Force-Schutz in kostenlosen Versionen. Sie suchen nach wiederholten Anmeldeversuchen mit oder ohne xmlrpc.php und schützen Sie vor Abfragen, die versuchen, Ihre Website zu beschädigen.
REST (und OAuth) zur Rettung
Jetzt wissen Sie vielleicht, dass sich WordPress-Entwickler der REST-Lösung zuwenden. Die Entwickler des REST-API-Teams hatten einige Probleme bei der Vorbereitung, einschließlich der Authentifizierungsmünze, mit der das XML-RPC-Problem behoben werden soll. Wenn dies endlich umgesetzt ist (Derzeit für WordPress 4.7 am Ende von 2016 geplant), müssen Sie XML-RPC nicht verwenden, um eine Verbindung mit Software wie JetPack herzustellen.
Stattdessen authentifizieren Sie sich über das OAuth-Protokoll. Wenn Sie nicht wissen, was ein OAuth-Protokoll ist, denken Sie daran, was passiert, wenn eine Website Sie auffordert, sich bei Google, Facebook oder sogar Twitter anzumelden. In der Regel wird auf diesen Plattformen das Protokoll OAuth verwendet.
WordPress REST API Test
Wie ich bereits sagte, ist die REST-API noch nicht in den WordPress-Kern integriert und wird es noch Monate nicht sein. Heute können Sie es in Ihren Testumgebungen testen:
Die Rest API wird definitiv die Zukunft von WordPress sein. Wir haben bereits mehrere Tutorials zu letzterem geschrieben, die Ihnen Anregungen geben, wie Sie mit der Implementierung beginnen können:
- Wie Sie wissen, wann Sie die Rest-API verwenden müssen
- Verwendung der Rest-API
- 7 effektive Implementierungen der Rest-API
- Verwendung der WordPress HTTP API
Das war es für dieses Tutorial. Ich hoffe, Sie werden besser über die Risiken informiert, die mit der Verwendung von XML-RPC verbunden sind. Zögern Sie nicht, uns Fragen im zu stellen Formular Bemerkungen.
