Przeglądając logi swojej strony WordPress, nagle zauważyłem coś, co przyciągnęło moją uwagę – powtarzające się wpisy z żądaniem POST /xmlrpc.php. Takie wzmożone próby połączenia z plikiem xmlrpc.php to czerwony alarm! Wyobraź sobie, że Twoja strona działa dzień i noc, ale właśnie przez ten mały, często niedoceniany plik może być narażona na bezustanne ataki. Prawdziwa „furtka” dla cyberprzestępców, którzy próbują się wedrzeć przez „tylne drzwi”.
Jeśli zależy Ci na bezpieczeństwie Twojej witryny – a jako właściciel strony wiesz, jak ważna jest jej niezawodność – blokada xmlrpc.php może być najlepszym ruchem, który dzisiaj wykonasz.
Dlaczego xmlrpc.php to potencjalne zagrożenie?
Ten plik został stworzony, aby ułatwiać zdalną komunikację z WordPressem, na przykład podczas publikowania postów z aplikacji mobilnej. Wydaje się całkiem przydatne, prawda? Niestety, to samo narzędzie jest też jednym z najczęściej atakowanych elementów. Hakerzy mogą go wykorzystać do tysięcy prób logowania na sekundę, by przejąć dostęp do Twojej strony. Każde niepowodzenie ich ataku oznacza jedno: Twoje zasoby, czas ładowania i miejsce na serwerze są bezlitośnie zjadane przez te żądania.
Widzisz więc, dlaczego „POST /xmlrpc.php” w logach to powód do działania!
Jak skutecznie zablokować xmlrpc.php i spać spokojniej?
Na szczęście istnieje kilka prostych sposobów, by trwale pozbyć się tego zagrożenia. Oto najlepsze metody:
1. Blokada za pomocą pliku .htaccess
Jeśli Twój serwer działa na Apache, możesz w prosty sposób zablokować xmlrpc.php, edytując plik .htaccess w głównym katalogu WordPressa. Wystarczy dodać poniższy kod:
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
To wszystko! Po zapisaniu zmian, plik xmlrpc.php stanie się nieosiągalny, skutecznie zamykając jedne z „tylnych drzwi”.
2. Wykorzystaj sprawdzone wtyczki
Dla tych, którzy wolą rozwiązania bezpieczne i bez konieczności grzebania w plikach serwera, są też wtyczki takie jak Disable XML-RPC lub iThemes Security. Dzięki nim wyłączysz dostęp do xmlrpc.php kilkoma kliknięciami, a przy okazji zyskasz dostęp do innych opcji bezpieczeństwa.
3. Wyłączenie XML-RPC poprzez functions.php
Jeśli wolisz bardziej „programistyczne” podejście, możesz zablokować xmlrpc.php, dodając poniższy kod do pliku functions.php swojego motywu:
add_filter( 'xmlrpc_enabled', '__return_false' );
To subtelne rozwiązanie sprawia, że WordPress sam blokuje XML-RPC, chroniąc Twoją stronę na poziomie kodu.
Uwaga: Rób to z rozwagą!
Każda modyfikacja pliku .htaccess lub functions.php to moment, w którym możesz podjąć świadomą decyzję o dodatkowym zabezpieczeniu strony, ale pamiętaj – przed wprowadzeniem jakichkolwiek zmian zrób kopię zapasową. Modyfikacje plików systemowych wiążą się z ryzykiem, a wszelkie działania na kodzie wykonujesz na własną odpowiedzialność. Zachowaj ostrożność !
