Vai al contenuto principale

XML-RPC: perché dovresti disabilitarlo sul tuo blog WordPress

Divi: il tema WordPress più semplice da usare

Divi: il miglior tema WordPress di tutti i tempi!

più Download di 901.000, Divi è il tema WordPress più popolare al mondo. È completo, facile da usare e viene fornito con oltre i modelli gratuiti 62. [Consigliato]

Agli albori di WordPress, c'erano funzionalità che ti permettevano di interagire con il tuo sito web da remoto. Queste stesse caratteristiche sono state utilizzate per costruire una comunità consentendo ad altri blogger di accedere al tuo blog. Lo strumento principale utilizzato a questo scopo è " XML-RPC '.

« XML-RPC "O" XML Remote Procedure Call Fornisce grande potenza a WordPress:

  • Connessione al tuo sito con uno SmartPhone
  • TrackBack e pingbacks tuo blog
  • Uso avanzato di Jetpack

Ma c'è un problema con il " XML-RPC », Che devi risolvere per preservare la sicurezza del tuo blog WordPress.

Come viene utilizzato XML-RPC su WordPress

Ritorniamo nei primi giorni di Blogging "(molto prima di WordPress), la maggior parte degli autori su Internet ha utilizzato dial-up Per navigare in rete. È stato difficile scrivere articoli e inviarli online. La soluzione era scrivere sul tuo computer offline e " copiatrice / Coller Il tuo articolo. Le persone che hanno utilizzato questo metodo lo hanno trovato particolarmente difficile perché il loro testo aveva spesso codici stranieri, anche se il documento era stato salvato in formato HTML.

Blogger ha creato un'interfaccia di programmazione dell'applicazione (API) per consentire ad altri sviluppatori di accedere ai blog di Blogger. Bastava specificare il nome del sito web, che permetteva agli utenti di creare articoli offline per poi connettersi all'API di Blogger tramite XML-RPC. Altri sistemi di blogging seguirono l'esempio e alla fine c'era un MetaWeblogAPI che standardizzava l'accesso per impostazione predefinita.

Dopo dieci anni, la maggior parte delle nostre applicazioni è sui nostri telefoni e tablet. Una delle cose che le persone amano fare con i loro telefoni è pubblicare sul loro blog WordPress. Nel 2008-09 Automattic è stata costretta a creare un'app WordPress per quasi tutti i sistemi operativi mobili (stesso Blackberry e Windows Mobile).

Crea facilmente il tuo sito Web con Elementor

Elementor ti consente di creare facilmente qualsiasi design di sito Web con un aspetto professionale. Smetti di pagare caro per quello che puoi fare da solo. [Free]

Queste applicazioni consentivano, tramite l'interfaccia XML-RPC, di utilizzare le credenziali di WordPress.com per connettersi a un sito WordPress in cui si dispone di determinati diritti di accesso.

Perché dovremmo dimenticare XML-RPC?

Compatibilità con XML-RPC Fa parte di WordPress sin dal primo giorno. WordPress 2.6 è stato rilasciato il 15 luglio 2008 e l'attivazione del " XML-RPC È stato aggiunto alle impostazioni di WordPress e il valore predefinito è " sconto '.

Una settimana dopo, è stata rilasciata una versione di WordPress per iPhone e agli utenti è stato chiesto di attivare la funzione. Quattro anni dopo che l'app per iPhone è entrata a far parte della famiglia, WordPress 3.5 ha attivato il " XML-RPC '.

Le principali debolezze associate a XML-RPC sono:

  • Attacchi di forza bruta: gli aggressori tentano di accedere a WordPress utilizzando xmlrpc.php con altrettante combinazioni di nome utente e password. Non ci sono limitazioni per i test. Un metodo in xmlrpc.php consente all'aggressore di utilizzare un singolo comando (system.multicall) Per indovinare centinaia di password.
  • Attacchi Denial of Service tramite Pingback

Convenienza vs. sicurezza WordPress

Quindi, eccoci di nuovo qui. Il mondo moderno è profondamente noioso con i suoi compromessi.

Se vuoi assicurarti che nessuno porti una bomba sulla tua barca, devi semplicemente farla passare attraverso i metal detector. Se vuoi proteggere la tua auto mentre fai la spesa, chiudi le portiere e chiudi i finestrini. Non puoi fare affidamento sulla password del sito web per proteggerlo (i finestrini delle auto forniscono una protezione sufficiente?), Soprattutto se si utilizzano applicazioni mobili Jetpack o.

Come disabilitare XML-RPC su WordPress

Quindi, sei diventato dipendente da tutti questi strumenti che, a loro volta, dipendono da XML-RPC. Capisco che tu non voglia disattivare "XML-RPC" nemmeno per un po '.

Tuttavia, ecco alcuni plugin che ti aiuteranno a farlo:

REST (e OAuth) in soccorso

Ora potresti sapere che gli sviluppatori di WordPress si stanno rivolgendo alla soluzione REST. Gli sviluppatori del team dell'API REST hanno riscontrato alcuni problemi durante la preparazione, inclusa la moneta di autenticazione destinata a risolvere il problema XML-RPC. Quando questo sarà finalmente implementato (attualmente programmato per WordPress 4.7 alla fine di 2016), non dovrai utilizzare XML-RPC per connetterti con software come JetPack.

Al contrario, effettuerai l'autenticazione tramite il protocollo OAuth. Se non sai cos'è un protocollo OAuth, ricorda cosa succede quando un sito web ti chiede di accedere con Google, Facebook o anche Twitter. Generalmente su queste piattaforme il protocollo utilizzato è OAuth.

Test dell'API REST di WordPress

Come ho detto prima, l'API REST non è ancora integrata nel core di WordPress e non lo sarà per mesi. Oggi puoi iniziare a testarlo sui tuoi ambienti di test:

L'API Rest sarà sicuramente il futuro di WordPress. Su quest'ultimo abbiamo già scritto diversi tutorial che ti daranno spunti su come iniziare a implementarlo:

Questo è tutto per questo tutorial. Spero che sarai meglio informato sui rischi associati all'uso di XML-RPC. Non esitate a farci domande nel modulo dei commenti.

Questo articolo contiene i commenti 0

Lascia un commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre indesiderati. Ulteriori informazioni su come vengono utilizzati i dati dei commenti.

Torna in alto
23 azioni
quota18
Tweet2
Enregistrer3