سرویس XML-RPC بصورت پیش فرض برای مدت زیادی در وردپرس به دلایل امنیتی غیر فعال بود. تا اینکه از نسخه 3.5 به بعد وضعیت تغییر کرد و XML-RPC به طور پیشفرض در وردپرس فعال شد و قابلیت غیر فعال سازی آن بوسیله داشبورد وردپرس حذف شد. در این مقاله ما به شما نشان خواهیم داد که چگونه سرویس XML-RPC را در وردپرس غیر فعال کنید و پیرامون تصمیم گیری درمورد فعالسازی پیش فرض آن بیشتر صحبت خواهیم کرد.
با توجه به تعریف ویکی پدیا XML-RPC یک سرویس فراخوانی دستورها از راه دور است که با استفاده از XML و مکانیسم انتقالی HTTP اطلاعات را منتقل میکند. به زبان ساده تر XML-RPC یک سیستم است که به شما امکان انتشار پست هایتان از طریق ابزارهای های محبوب وبلاگ نویسی مانند Windows Live Writer را میدهد.اگر می خواهید از اپلیکیشن وردپرس روی گوشی همراه خود استفاده کنید یا با سرویسی هایی مثل IFTTT ارتباط برقرار کنید نیز به این سرویس نیاز دارید.
همچنین اگر میخواهید از راه دور به وبلاگ خود دسترسی داشته باشید به فعالسازی XML-RPC احتیاج دارید.
مقاله مرتبط: ۱۵ دستور مفید در .htaccess برای وردپرس
درگذشته، نگرانی های امنیتی در مورد XML-RPC وجود داشت که باعث شده بود بصورت پیش فرض غیر فعال شود.
با استفاده روز افزون از تلفن همراه این تغییر خیلی سریع آغاز شد. به هر حال برخی افراد که از نظر امنیتی محتاط هستند ممکن است بگویند با وجود اینکه XML-RPC مشکل امنیتی بزرگی ندارد، اما هنوز ممکن است اگر هیچ راه حمله پذیری پیدا نشد یک حفره امنیتی برای اتک ایجاد کند. بنابراین اگر به آن نیاز ندارید بهتر است آن را غیرفعال نگه دارید.
درحالی که گزینه رابط کاربری و دیتابیس برای خاموش کردن XML-RPC حذف شده، اما یک فیلتر وجود دارد که میتوانید درصورت لزوم آن را خاموش کنید.
چگونه XML-RPC را در وردپرس 3.5 غیرفعال کنیم
تمام کاری که نیاز است انجام دهید این است که کد زیر را در یک پلاگین ساده قرار دهید.
add_filter('xmlrpc_enabled', '__return_false');
همچنین میتوانید پلاگینی به نام Disable XML-RPC را نصب کنید. تنها کاری که نیاز است در این روش انجام دهید فعالسازی پلاگین است. این پلاگین دقیقا همان چیزی است که کد بالا انجام میدهد.
چگونه XML-RPC را بوسیله .htaccess غیرفعال کنیم
درحالی که اقدامات بالا در بسیاری از مواقع کافی است، اما هنوز هم ممکن است XML-RPC حفره امنیتی بسیاری از سایت هایی باشد که مورد اتک قرار میگیرند.
در اینگونه موارد، شما ممکن است بخواهید تمام درخواست های xmlrpc.php را از .htaccess حتی قبل از اینکه درخواست به وردپرس منتقل شود، غیرفعال کنید.
خیلی ساده کد زیر را به فایل .htaccess خود اضافه کنید:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
به علت اینکه ما در وردپرس استارت از اپلیکیشن موبایل یا کنترل و انتشار از راه دور استفاده نمیکنیم XML-PRC را غیرفعال کرده ایم شما چه تصمیمی گرفته اید؟اگر دیدگاهی دارید میتوانید زیر همین پست کامنت بگذارید.
