În primele zile ale WordPress, existau funcții care îți permiteau să interacționezi cu site-ul tău de la distanță. Aceleași caracteristici au făcut posibilă construirea unei comunități, permițând accesul altor bloggeri blogul tău. Instrumentul principal folosit în acest scop este „ XML-RPC ".
« XML-RPC "Sau" Procedura de apel la distanță XML Oferă mare putere WordPress:
- Conectarea la site-ul dvs. cu un telefon inteligent
- TrackBack-uri și Pingback-uri activate blogul tău
- Utilizarea avansată a Jetpack
Dar există o problemă cu „ XML-RPC ", pe care trebuie să le rezolvați pentru a păstra securitatea dvs WordPress blog.
Modul de utilizare a XML-RPC pe WordPress
Să ne întoarcem în primele zile ale Blogging '(cu mult înainte de WordPress), au folosit majoritatea autorilor de pe Internet dial-up Pentru a naviga pe web. A fost dificil să scrii articole și să le trimiți online. Soluția a fost să scrii pe computerul tău offline și „ copiator / Coller Articolul tău. Oamenii care au folosit această metodă le-a fost deosebit de dificil, deoarece textul lor avea adesea coduri străine, chiar dacă documentul a fost salvat în format HTML.
Blogger a creat o interfață de programare a aplicației (API) pentru a permite altor dezvoltatori să acceseze blogurile Blogger. A fost suficient să specificați numele site-ului web, care le-a permis utilizatorilor să creeze articole offline și apoi să se conecteze la Blogger API prin XML-RPC. Alte sisteme de blogging au urmat exemplul și a existat în cele din urmă un MetaWeblogAPI care standardiza accesul în mod implicit.
După zece ani, majoritatea aplicațiilor noastre sunt pe telefoanele și tabletele noastre. Unul dintre lucrurile pe care le place oamenilor să le facă cu telefoanele lor este să posteze pe site-ul lor WordPress blog. În 2008-09, Automattic a fost forțat să creeze o aplicație WordPress pentru aproape fiecare sistem de operare mobil (același Blackberry și Windows Mobile).
Aceste aplicații au permis, prin interfața XML-RPC, să vă utilizeze acreditările WordPress.com pentru a vă conecta la un site WordPress unde aveți anumite drepturi de acces.
De ce să uităm de XML-RPC?
Compatibilitatea cu XML-RPC Face parte din WordPress încă din prima zi. WordPress 2.6 a fost lansat pe 15 iulie 2008, iar activarea programului „ XML-RPC A fost adăugat la setările WordPress și implicit la „ de pe ".
O săptămână mai târziu, a fost lansată o versiune de WordPress pentru iPhone, iar utilizatorii au fost rugați să activeze funcția. La patru ani după ce aplicația iPhone a intrat în familie, WordPress 3.5 a activat „ XML-RPC ".
Principalele puncte slabe asociate XML-RPC sunt:
- Atacuri cu forță brută: atacatorii încearcă să se conecteze la WordPress folosind xmlrpc.php cu tot atâtea combinații de nume de utilizator și parolă. Nu există restricții de încercare. O metodă din xmlrpc.php permite atacatorului să utilizeze o singură comandă (system.multicall) pentru a ghici sute de parole.
- Atacurile de refuz de serviciu prin Pingback
Convenabilitate vs. securitate WordPress
Deci, aici mergem din nou. Lumea modernă este profund plictisitoare cu compromisurile sale.
Dacă doriți să vă asigurați că nimeni nu aduce o bombă pe barca dvs., trebuie doar să o treceți prin detectoarele de metale. Dacă doriți să vă protejați mașina în timp ce faceți cumpărături, blocați ușile și închideți geamurile. Nu vă puteți baza doar pe parola site-ului web pentru ao proteja (geamurile auto asigură o protecție suficientă?), mai ales dacă utilizați aplicații Jetpack sau mobile.
Cum dezactivați XML-RPC pe WordPress
Așadar, ați devenit dependent de toate aceste instrumente care sunt la rândul lor dependente de XML-RPC. Înțeleg că nu doriți să dezactivați „XML-RPC” nici măcar pentru o vreme.
Cu toate acestea, iată câteva pluginuri care vă vor ajuta să faceți acest lucru:
- Opriți atacul XML-RPC : permite doar Jetpack și alte instrumente Automattic să acceseze xmlrpc.php prin .htaccess.
- Controlul publicării XML-RPC: pur și simplu readuce vechea opțiune de publicare la distanță înapoi la opțiunile de scriere.
- iThemes Security, Securitate anti-malware și Brute-Force Firewall et Securitate și firewall WP all in oneAceste instrumente de securitate cu scop general includ protecția forței brute în versiunile gratuite. Ei urmăresc încercări repetate de conectare cu sau fără xmlrpc.php și vă protejează de întrebările care încearcă să rupă site-ul.
REST (și OAuth) la salvare
Acum este posibil să știți că dezvoltatorii WordPress apelează la soluția REST. Dezvoltatorii din echipa REST API au avut câteva probleme de pregătire, inclusiv cu moneda de autentificare destinată rezolvării problemei XML-RPC. Când acest lucru este în cele din urmă implementat (momentan programat pentru WordPress 4.7 la sfârșitul lui 2016), nu va trebui să utilizați XML-RPC pentru a vă conecta cu software precum JetPack.
În schimb, vă veți autentifica prin protocolul OAuth. Dacă nu știți ce este un protocol OAuth, nu uitați ce se întâmplă când un site web vă cere să vă conectați cu Google, Facebook sau chiar Twitter. În general, pe aceste platforme, protocolul utilizat este OAuth.
Testul WordPress REST API
După cum am spus mai devreme, API-ul REST nu este încă integrat în nucleul WordPress și nu va fi timp de luni de zile. Astăzi puteți începe testarea pe mediile de testare:
API-ul Rest va fi cu siguranță viitorul WordPress. Am scris deja câteva tutoriale despre acestea din urmă care vă vor oferi idei despre cum puteți începe să îl implementați:
- Cum să știți când să utilizați API-ul Rest
- Cum se utilizează API-ul Rest
- 7 implementări eficiente ale API-ului Rest
- Cum se utilizează API-ul HTTP WordPress
Asta e pentru acest tutorial. Sper că veți fi mai bine informat cu privire la riscurile asociate cu utilizarea XML-RPC. Nu ezitați să ne puneți întrebări în formă comentarii.
