Agli albori di WordPress c’erano funzionalità che ti permettevano di interagire con il tuo sito web da remoto. Queste stesse caratteristiche hanno permesso di costruire una community consentendo l'accesso ad altri blogger il tuo blog. Lo strumento principale utilizzato a questo scopo è “ XML-RPC '.
« XML-RPC "O" XML Remote Procedure Call Fornisce grande potenza a WordPress:
- Connessione al tuo sito con uno SmartPhone
- TrackBack e Pingback attivi il tuo blog
- Uso avanzato di Jetpack
Ma c'è un problema con il " XML-RPC ", che devi risolvere per preservare la sicurezza del tuo blog WordPress.
Come viene utilizzato XML-RPC su WordPress
Ritorniamo nei primi giorni di Blogging "(molto prima di WordPress), la maggior parte degli autori su Internet ha utilizzato dial-up Per navigare in rete. È stato difficile scrivere articoli e inviarli online. La soluzione era scrivere sul tuo computer offline e " copiatrice / Coller Il tuo articolo. Le persone che hanno utilizzato questo metodo lo hanno trovato particolarmente difficile perché il loro testo aveva spesso codici stranieri, anche se il documento era stato salvato in formato HTML.
Blogger ha creato un'interfaccia di programmazione dell'applicazione (API) per consentire ad altri sviluppatori di accedere ai blog di Blogger. Bastava specificare il nome del sito web, che permetteva agli utenti di creare articoli offline per poi connettersi all'API di Blogger tramite XML-RPC. Altri sistemi di blogging seguirono l'esempio e alla fine c'era un MetaWeblogAPI che standardizzava l'accesso per impostazione predefinita.
Dopo dieci anni, la maggior parte delle nostre applicazioni sono sui nostri telefoni e tablet. Una delle cose che le persone amano fare con i loro telefoni è postare sui loro blog WordPress. Nel 2008-09, Automattic è stata costretta a creare un'applicazione WordPress per quasi tutti i sistemi operativi mobili (stesso Blackberry e Windows Mobile).
Queste applicazioni consentivano, tramite l'interfaccia XML-RPC, di utilizzare le credenziali di WordPress.com per connettersi a un sito WordPress in cui si dispone di determinati diritti di accesso.
Perché dovremmo dimenticare XML-RPC?
Compatibilità con XML-RPC Fa parte di WordPress sin dal primo giorno. WordPress 2.6 è stato rilasciato il 15 luglio 2008 e l'attivazione del " XML-RPC È stato aggiunto alle impostazioni di WordPress e il valore predefinito è " sconto '.
Una settimana dopo, è stata rilasciata una versione di WordPress per iPhone e agli utenti è stato chiesto di attivare la funzione. Quattro anni dopo che l'app per iPhone è entrata a far parte della famiglia, WordPress 3.5 ha attivato il " XML-RPC '.
Le principali debolezze associate a XML-RPC sono:
- Attacchi di forza bruta: gli aggressori tentano di accedere a WordPress utilizzando xmlrpc.php con altrettante combinazioni di nome utente e password. Non ci sono limitazioni per i test. Un metodo in xmlrpc.php consente all'aggressore di utilizzare un singolo comando (system.multicall) Per indovinare centinaia di password.
- Attacchi Denial of Service tramite Pingback
Convenienza vs. sicurezza WordPress
Quindi, eccoci di nuovo qui. Il mondo moderno è profondamente noioso con i suoi compromessi.
Se vuoi assicurarti che nessuno porti una bomba sulla tua barca, devi semplicemente farla passare attraverso i metal detector. Se vuoi proteggere la tua auto mentre fai la spesa, chiudi le portiere e chiudi i finestrini. Non puoi fare affidamento sulla password del sito web per proteggerlo (i finestrini delle auto forniscono una protezione sufficiente?), Soprattutto se si utilizzano applicazioni mobili Jetpack o.
Come disabilitare XML-RPC su WordPress
Quindi, sei diventato dipendente da tutti questi strumenti che, a loro volta, dipendono da XML-RPC. Capisco che tu non voglia disattivare "XML-RPC" nemmeno per un po '.
Tuttavia, ecco alcuni plugin che ti aiuteranno a farlo:
- Fermare l'attacco XML-RPC : consente solo a Jetpack e ad altri strumenti di Automattic di accedere a xmlrpc.php tramite .htaccess.
- Controllo XML-RPC Publishing: ripristina semplicemente la vecchia opzione di pubblicazione remota nelle opzioni di scrittura.
- iThemes Security, Anti-Malware Sicurezza ed Brute-Force Firewall et All in One WP Security & FirewallQuesti strumenti di sicurezza per uso generale includono la protezione della forza bruta nelle versioni gratuite. Guardano ripetuti tentativi di accesso con o senza xmlrpc.php e ti proteggono da query che stanno tentando di interrompere il tuo sito.
REST (e OAuth) in soccorso
Ora potresti sapere che gli sviluppatori di WordPress si stanno rivolgendo alla soluzione REST. Gli sviluppatori del team dell'API REST hanno riscontrato alcuni problemi durante la preparazione, inclusa la moneta di autenticazione destinata a risolvere il problema XML-RPC. Quando questo sarà finalmente implementato (attualmente programmato per WordPress 4.7 alla fine di 2016), non dovrai utilizzare XML-RPC per connetterti con software come JetPack.
Al contrario, effettuerai l'autenticazione tramite il protocollo OAuth. Se non sai cos'è un protocollo OAuth, ricorda cosa succede quando un sito web ti chiede di accedere con Google, Facebook o anche Twitter. Generalmente su queste piattaforme il protocollo utilizzato è OAuth.
Test dell'API REST di WordPress
Come ho detto prima, l'API REST non è ancora integrata nel core di WordPress e non lo sarà per mesi. Oggi puoi iniziare a testarlo sui tuoi ambienti di test:
L'API Rest sarà sicuramente il futuro di WordPress. Su quest'ultimo abbiamo già scritto diversi tutorial che ti daranno spunti su come iniziare a implementarlo:
- Come sapere quando utilizzare l'API Rest
- Come utilizzare l'API Rest
- 7 implementazioni effettive dell'API Rest
- Come utilizzare l'API HTTP di WordPress
Questo è tutto per questo tutorial. Spero che sarai meglio informato sui rischi associati all'uso di XML-RPC. Non esitate a farci domande nel forma Commenti.
