WordPress'te XML-RPC Nasıl Devre Dışı Bırakılır?

WordPress XML-RPC'yi devre dışı bırakmanın hızlı bir yolunu mu arıyorsunuz? Yine de yapmadan önce, neden böyle yaptığınızı düşünün.

Ayrıca muhtemelen birçok başka sorunuz da var:

• xmlrpc.php nedir?
• Ne kadar büyük bir güvenlik riski var?
• xmlrpc.php'yi devre dışı bırakmak tehdidi otomatik olarak çözer mi?

Bu yazıda, tüm bu soruları ve daha fazlasını cevaplayacağız.

TL; DR: WordPress'te XML-RPC'yi devre dışı bırakmak gerçek bir çözüm değildir. Er ya da geç, bilgisayar korsanları, istismar etmek için başka bir güvenlik açığı bulacaktır. Botları ve kötü niyetli IP'leri engellemek yerine güçlü bir WordPress güvenlik duvarı kurmanızı öneririz .

Web siteniz XML-RPC nedeniyle saldırıya mı uğradı?

Hayır.

Olan şu ki, bilgisayar korsanları, kullanıcı adları ve şifreler için kombinasyonlar deneyerek web sitenize erişmeye çalışıyor. Ancak panik yapmayın, web siteniz henüz saldırıya uğramadı.

Hemen hemen her sitenin bunu deneyimlediğini gördük. Güçlü parolalar kullandıysanız, bu nedenle sitenizin saldırıya uğrama olasılığı minimumdur. Gördüğümüz 10.000'den fazla saldırıya uğramış sitenin %5'inden azı bu tür saldırılar nedeniyle saldırıya uğradı.

Ancak, kaba kuvvet saldırıları olarak bilinen bu tür saldırılar, sunucu kaynaklarını tüketir. Oturum açma ve yönetici sayfalarınızı korumuş olsanız bile, bu saldırılar bu sayfaları tamamen atlayarak sunucunun aşırı yüklenmesine neden olur.

Bunu önlemek için iyi bir güvenlik duvarı kurmak önemlidir.

XML-RPC nedir?

XML-RPC, WordPress ve diğer sistemler arasında veri aktarımını sağlayan bir WordPress özelliğidir. Şimdi büyük ölçüde REST API ile değiştirildi, ancak yine de geriye dönük uyumluluk için kurulumlara dahil edildi.

XML-RPC, üçüncü taraf uygulamaların WordPress web sitenizde içerik yayınlamasına izin verir. Örneğin, akıllı telefonunuzdan bir gönderi yayınlamak için WordPress mobil uygulamasını kullanıyorsanız, XML-RPC bunu yapmanıza olanak tanır.

Ama yapabileceği tek şey bu değil. WordPress, diğer blog platformlarıyla iletişim kurmak için de kullandı. Geri izlemeleri ve geri pingleri etkinleştirdi.

Jetpack eklentisinin daha eski bir sürümünü bile çalıştırdı.

WordPress, genellikle WordPress mobil uygulamasına bağlanmak için kullanır. WordPress mobil uygulamasını daha önce kullandıysanız, XML-RPC'yi etkinleştirmeniz gerektiğini hatırlayacaksınız.

Tüm bu anlaşmanın en tuhaf yanı, WordPress'in artık XML-RPC bile kullanmamasıdır. WordPress, kendi REST API'sini yayınladığından beri eski kod tabanını kullanmayı bıraktı.

WordPress kurulumunuzun hala xmlrpc.php dosyasına sahip olmasının tek nedeni geriye dönük uyumluluk içindir. Daha basit bir deyişle, yalnızca WordPress'in ÇOK eski bir sürümünde çalışan web siteleri içindir!

Bu sizseniz, web sitenizi hemen yedeklemenizi ve WordPress çekirdek dosyalarınızı, temalarınızı ve eklentilerinizi güncellemenizi şiddetle tavsiye ederiz. WordPress'in eski sürümlerinde kalmak, xmlrpc.php'ye bağlanmaya çalışan bilgisayar korsanlarından çok daha büyük güvenlik riskleri oluşturabilir.

Sonuç olarak, WordPress sürümünüz 4.7'den yüksekse, WordPress'te XML-RPC'yi güvenli bir şekilde devre dışı bırakabilirsiniz. Eklentiyi kullanıyorsanız Jetpack'i bile etkilemez. Ancak XML-RPC'yi devre dışı bırakmak kendi başına tamamen güvenli bir işlem olsa da sitenizi bilgisayar korsanlarına karşı korumaya yardımcı olmaz.

Bilgisayar korsanları neden XML-RPC'ye saldırır?

WordPress mobil uygulamasını daha önce kullandıysanız, gerçekten değişiklik yapabilmeniz için web sitenize giriş yapmanız gerektiğini hatırlayacaksınız. Şimdi, bu oturum açma, kimlik bilgilerinizi xmlrpc.php betiğine göndererek gerçekleşir, bu daha sonra erişim kimlik bilgilerinizi doğrular ve doğrular.

Bilgisayar korsanları temelde aynı şeyi yapmaya çalışırlar: xmlrpc.php komut dosyası erişim bilgilerini göndererek web sitenize giriş yapın. En büyük risk, şifrenizin zayıf olması ve kolayca tahmin edilebilir olmasıdır. İşte o zaman XML-RPC bir güvenlik sorunu haline gelir.

Aksi takdirde, aşırı yüklenmiş bir sunucu olasılığına bakıyorsunuz – ki bu hala harika değil, unutmayın, ancak bir güvenlik duvarı ile kolayca ele alınabilir.

Harici uygulamalara bağlanmak için REST API kullanan WordPress 4.7 ve sonraki sürümleri, OAuth belirteçleri adı verilen bir kimlik doğrulama biçimi kullanır. OAuth, harici bir uygulamaya bağlanmanın çok güvenli bir yoludur. XML-RPC'nin kullanıcı adı ve parolayı doğrudan kullanma yöntemi hiç de güvenli bir yöntem değildir.

Yeterli zaman verildiğinde, bir bilgisayar korsanı veya bir bot, doğru olanı tahmin edene kadar xmlrpc.php'ye bağlanmak için kullanıcı adı ve şifrenin türevlerini gönderebilir.

Buna kaba kuvvet saldırısı denir.

XML-RPC ile ilgili bir diğer önemli güvenlik sorunu, birisinin içeriğinize bağlandığında WordPress'te uyarılar olan pingback'ler için kullanılmasıdır. Tehdit, bir bilgisayar korsanının sitenize büyük bir pingback dalgası gönderebilmesidir.

DDoS saldırısı olarak bilinen bu saldırı türü, sunucunuzu aşırı yükleyebilir, sunucu kaynaklarınızı tüketebilir ve web sunucunuz tarafından web sitenizin askıya alınmasına neden olabilir!

Yine, REST API bu işlevi de değiştirdi. Dolayısıyla, pingbacklerden hoşlanıyorsanız, WordPress'te XML-RPC'yi güvenle devre dışı bırakabilirsiniz.

Belki de %5'in bir parçası olduğunuzdan ve web sitenizin saldırıya uğramış olabileceğinden endişe ediyorsanız, bu olasılığı ortadan kaldırmak için hemen ücretsiz kötü amaçlı yazılım tarayıcımızı kullanın.

XML-RPC'yi devre dışı bırakmalı mısınız?

XML-RPC'nin devre dışı bırakılmasını kesinlikle önermiyoruz.

Sebep?

Basit – PHP dosyasını devre dışı bırakmak size hiçbir şey kazandırmaz. XML-RPC'yi devre dışı bırakmak, bilgisayar korsanlarından ve botlardan kurtulmaz. Kaba kuvvet saldırıları gerçekleştirmek için dikkatlerini wp-login.php'ye yönlendirir.

İkinci olarak, eklenti, isteği engellemek için yüklenmesi gerektiğinden web sitenizi yavaşlatacaktır.

Web sitenizi korumak daha önemlidir ve buraya kadar okuduysanız, muhtemelen bir güvenlik duvarı kurmanızı önereceğimizi tahmin edebilirsiniz. Evet, o eski kestane.

WordPress'te XML-RPC nasıl devre dışı bırakılır

WordPress'teki her şeyde olduğu gibi, WordPress XML-RPC'yi iki şekilde devre dışı bırakabilirsiniz:

• Eklenti kullanma
• eklenti olmadan

Çoğu durumda, WordPress'te hemen hemen her şeyi yapmak için genellikle bir eklenti kullanmanızı öneririz. WordPress arka ucundaki kodu manuel olarak değiştirmek felakete yol açabilir. Bu, hiçbir yöntemi önermediğimiz nadir bir durumdur, ancak yine de size her durumda ikisini de nasıl yapacağınızı göstereceğiz.

Dikkatli bir şekilde ilerlemeyi ve herhangi bir şey yapmadan önce web sitenizin yedeklerini almayı unutmayın.

1. Adım: Web sitenizde XML-RPC'nin etkin olup olmadığını kontrol edin

WordPress kurulumunuz xmlrpc.php ile gelmiş olsa bile, bu onun hala etkin olduğu anlamına gelmez. Devam etmeden ve XML-RPC'yi devre dışı bırakmayı denemeden önce, en azından web sitenizde hala etkin olup olmadığını kontrol etmelisiniz.

WordPress XML-RPC Doğrulama Hizmetini kullanın. Bu uygulama web sitenizi kontrol edecek ve xmlrpc.php'nin etkin olup olmadığını size bildirecektir.

Aynısını MalCare için yaparsanız, bir güvenlik duvarımız olduğundan 403 hata mesajı görürsünüz.

2. Adım: Web sitenizde XML-RPC'yi devre dışı bırakın

Sonunda WordPress'inizde XML-RPC'yi bir kez ve herkes için devre dışı bırakmanın zamanı geldi.

Bunu iki yöntemle nasıl yapacağınızı size göstereceğiz. Dosyayı devre dışı bırakmanızı kesinlikle önermesek de, yapmaya hazırsanız eklentiyi kullanmanızı öneririz.

A Seçeneği: Bir eklenti kullanma

Web sitenizde XML-RPC'yi devre dışı bırakmak için kullanabileceğiniz birçok eklenti var. REST XML-RPC Data Checker eklentisini kullanmanızı öneririz.

İsteği engellemek için eklentinin yüklenmesi gerekeceğinden web sitenizin yavaşlayacağını unutmayın. Ayrıca, bilgisayar korsanları bunun yerine wp-login.php dosyasına saldıracaklardır.

Dolayısıyla, bu güvenlik açısından kesinlikle hiçbir şey sağlamayacaktır. Gerçek koruma istiyorsanız, bunun yerine MalCare'in gelişmiş güvenlik duvarı eklentisini yüklemenizi öneririz.

Eklentiyi yükledikten sonra Ayarlar > REST XML-RPC Veri Denetleyicisi'ne gidin .

Ardından XML-RPC sekmesine tıklayın:

API arayüzünü, WordPress gönderilerini, geri bildirimleri ve geri izlemeleri biçimlendirme özelliğini devre dışı bırakabilirsiniz. Ek bir avantaj olarak, XML-RPC'yi veya engellenmeyecek bir güvenilir IP adresleri listesini kullanmaya devam edebilen güvenilir bir kullanıcıyı da tanıtabilirsiniz.

Hızlı ve verimli! Yine de REST sekmesiyle oynamanızı önermiyoruz. Orada her şeyi varsayılan olarak bırakın.

B Seçeneği: Eklentisiz

Bu, kitaptaki olası en kötü seçenek. Bunun yerine size XML-RPC saldırılarına karşı gerçekten savunmayı öğrettiğimiz bir sonraki bölüme geçmenizi şiddetle tavsiye ederiz.

Ancak, XML-RPC'yi manuel olarak devre dışı bırakma konusunda kararsızsanız, öncelikle web sitenizin tam yedeğini almanızı şiddetle öneririz.

Web sitenizin kullandığı sunucunun türüne bağlı olarak şu iki yöntemden birini izleyebilirsiniz:

.htaccess Kullanarak WordPress XML-RPC'yi Devre Dışı Bırakın

Bu kod parçacığını .htaccess dosyanıza yapıştırın:

 # Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files>

5. satırda 'xxx.xxx.xxx.xxx'ten izin ver', belirli bir IP'den XML-RPC'yi saklamak istiyorsanız, x'leri IP adresinizle değiştirin. Aksi takdirde, bu satırı silebilirsiniz.

Web siteniz Apache kullanılarak barındırılıyorsa, sunucunuza cPanel veya FTP kullanarak bağlanabileceksiniz. Her iki durumda da .htaccess dosyanıza erişebileceksiniz.

.config Kullanarak WordPress XML-RPC'yi Devre Dışı Bırakın

Nginx'te barındırılan siteler için Nginx.config dosyasına aşağıdaki kodu ekleyebilirsiniz:

 location ~* ^/xmlrpc.php$ { return 403; }

Veya web barındırıcınızdan XML-RPC'yi sizin için devre dışı bırakmasını isteyebilirsiniz.

Bir Filtre Kullanarak WordPress XML-RPC'yi Devre Dışı Bırakın

Alternatif olarak, herhangi bir eklentiye bir filtre ekleyebilirsiniz:

 add_filter('xmlrpc_enabled', '__return_false');

Aynı şeyi tema işlevleri dosyasından da yapabilirsiniz, ancak bir eklenti yazmak çok daha iyi bir uygulamadır. Ayrıca, ne tür bir sunucunuz olursa olsun bu yöntemi kullanabilirsiniz.

Yine, bunların hiçbiri gerçekten yararlı seçenekler değildir ve manuel değişiklikler yapmak asla iyi bir fikir değildir. Bu nedenle, bunu yapmanız gerekiyorsa, lütfen işler kötüye giderse diye bir WordPress yedeğiniz olsun.

XML-RPC saldırıları nasıl önlenir

Bu, bu makaledeki en önemli bölümdür ve oldukça büyük bir bölümdür. Bu nedenle, bunu web sitenize XML-RPC saldırılarını önlemek için uygulayabileceğiniz birkaç uygulanabilir adıma ayırmaya karar verdik.

1. Adım: Web sitenizin zaten saldırıya uğramış olup olmadığını kontrol edin

Büyük olasılıkla, siteniz henüz saldırıya uğramadı.

Ancak yine de her ihtimale karşı bunu onaylamanız gerekiyor. Web siteniz gerçekten saldırıya uğradıysa, önce kötü amaçlı yazılımı kaldırmanız gerekir, aksi takdirde XML-RPC'yi devre dışı bırakmak bir anlam ifade etmez.

Sitenizin saldırıya uğrayıp uğramadığını doğrulamanın en basit yolu MalCare'in ÜCRETSİZ kötü amaçlı yazılım tarayıcısını kullanmaktır. MalCare'in tarayıcısının kurulumu çok az zaman alır ve bir web sitesindeki bilinmeyen kötü amaçlı yazılımları bile saniyeler içinde algılayabilir.

MalCare'de saldırıya uğramış bir site uyarısı görürseniz, tek yapmanız gereken 'Autoclean' düğmesine basmak.

MalCare, tüm kötü amaçlı yazılımın kaldırılmasını 60 saniye içinde halleder.

2. Adım: Bir WordPress Güvenlik Duvarı Kurun

Bu, XML-RPC güvenlik açıklarını ele almanın doğru yoludur. xmlrpc.php ile bağlanmaya çalışan botları engellemek için donatılmış bir WordPress güvenlik duvarı kullanın.

Dosyayı devre dışı bırakmak işe yaramıyor. Bilgisayar korsanları bir sonraki adımda wp-login.php'yi hacklemeye başlarlar.

Tek sorun, güvenlik duvarlarının genellikle çok geç devreye girmesidir. Bir bilgisayar korsanı xmlrpc.php veya wp-login.php'ye bağlanarak her hacklemeye çalıştığında, tüm WordPress sitesi onunla birlikte yüklenir.

İşte tam da bu nedenle MalCare'in aşağıdaki özelliklere sahip gelişmiş güvenlik duvarını kullanmanızı öneririz:

• Web siteniz yüklenmeden önce botları ve bilgisayar korsanlarını püskürtür
• Web sitenizin yükleme hızını Cloudflare gibi yavaşlatmaz
• Koruduğu 250.000'den fazla web sitesinden oluşan bir ağdan öğrenerek kötü amaçlı IP'lerden oluşan bir veritabanını sürekli olarak günceller

Web siteniz MalCare tarafından korunuyorsa, tüm botlar ve bilgisayar korsanları XML-RPC'ye bağlanmaya çalıştıklarında veya WP-Login 403 hatası alırlar. Bunun gibi bir hata, bir bilgisayar korsanını daha ileri gitmekten çabucak vazgeçirebilir.

İnsanlar neden XML-RPC'yi devre dışı bırakmanızı tavsiye ediyor?

Birkaç neden. Her birini inceleyelim, böylece birisinin (evet, bu WordPress yönetim blogu da önemlidir) neden bu eylemi önerdiğini anlayabilirsiniz. (Biraz yara bandı çözümü olsa bile.)

Pek çok okuyucumuzun (sizin gibi) WordPress web sitelerinde XML-RPC'yi devre dışı bırakmak istemesinin en büyük nedenlerinden biri, sunucu kaynağı sorunları yaşamalarıdır. Günlüklere baktığınızda, xmlrpc.php dosyasına çok sayıda isabetle karşılaşmış olabilirsiniz.

Belki Jetpack kullanıyorsunuz ve Jetpack'i kurarken bir yapılandırma hatasıyla karşılaştınız . Daha sonra kulağa tuhaf gelen bu dosyayı aradın ve nasıl bir güvenlik açığı olduğu hakkında bir sürü şey okudun.

Veya şuna benzer bir uyarı veren bir tarayıcı kullandınız:

Bu, bir Wordfence trafik günlüğünün ekran görüntüsü.

Bir güvenlik eklentisi, botların WordPress'teki XML-RPC aracılığıyla sitenize girmeye çalıştığını gösterir. Bu nedenle, doğal içgüdünüz bu seçeneği tamamen devre dışı bırakmaktır.

Ne Yapmamalısınız ve Neden

Kara liste IP adresleri

IP'leri manuel olarak engellemenin, bilgisayar korsanlarını engellemenin iyi bir yolu olduğunu düşünebilirsiniz. Aslında, birçok güvenlik “gurusunun” onaylayacağı şey budur. Ama çalışmıyor. Bir IP adresini engellerseniz, kaba kuvvet botu sitenize saldırmak için başka bir IP adresi kullanmaya başlar.

XML-RPC'yi Silme

WordPress kurulumunuzdan xmlrpc.php dosyasını silmeyi düşünmeyin bile. Sitenizi tamamen mahvedecek ve olmasa bile, WordPress'i bir sonraki güncellemenizde dosya hemen geri açılacaktır.

Sırada ne var?

WordPress güvenliğini geliştirmek tek ve bitmiş bir anlaşma değildir. Evet, bir güvenlik duvarı kurmak başlamak için harika bir yoldur, ancak başka neleri iyileştirebileceğinizi öğrenmek için web sitenizde tam bir WordPress güvenlik denetimi yapmanızı öneririz.

MalCare'i zaten yüklediyseniz, sezgisel kontrol panelinde birçok öneri bulacaksınız. Sadece devam edin ve bir güvenlik taraması yapın ve istemleri takip edin.

Hızlı bir şekilde öğreneceğiniz gibi, WordPress web sitenizin güvenliğini güçlendirmek iyi bir fikirdir. Yine, birkaç basit tıklamayla halletmek için talimatları takip edebilirsiniz.

Güvenliğin bir diğer önemli yönü de her zaman bilgi sahibi olmaktır.

Yeni bir WordPress güvenlik açığı varsa, bunu bilmeniz ve web sitenizi de etkilemeden önce önleyici tedbirler almanız gerekir.

SSS

XML-RPC nedir?

XML-RPC, XML Uzaktan Çağrı Prosedürü anlamına gelir. Eski blog sistemleri tarafından, XML kodlamalı bir HTTP bağlantısı kullanarak bloga bağlanmak için kullanılan bir protokoldür. Basitçe söylemek gerekirse, kullanıcıların WordPress gibi bir blog platformuna uzaktan bağlanmasına izin veren bir protokoldür.

XML-RPC ne için kullanılır?

XML-RPC, WordPress mobil uygulaması gibi üçüncü taraf uygulamalardan WordPress'e uzaktan bağlanmanın bir yoludur. Ayrıca, birileri geri izleme ve geri ping yoluyla gönderilerinize her bağlantı verdiğinde size bir bildirim gönderir.

XML-RPC'yi nasıl devre dışı bırakırım?

REST XML-RPC Data Checker eklentisi gibi bir eklenti kullanarak XML-RPC'yi devre dışı bırakabilirsiniz. Ancak, XML-RPC'yi devre dışı bırakmak, bilgisayar korsanlarının WordPress web sitenize girmeye çalışmasını engellemez. Saldırıları durdurmak için bunun yerine MalCare'in gelişmiş güvenlik duvarı eklentisini yüklemelisiniz.

CAPTCHA veya 2FA'm var. Yine de XML-RPC kullanarak şifreyi kırabilirler mi?

Captcha ve İki Faktörlü Kimlik Doğrulama (2FA) eklentileri ek güvenlik içindir. XML-RPC saldırılarına karşı gerçek koruma sağlamazlar.

Çoğu captcha ve WordPress 2FA eklentisi, XML-RPC komut dosyasını değil, yalnızca WordPress giriş sayfasını korur. XML-RPC yoluyla oturum açmayı engellediğinden emin olmak için güvenlik eklentinizle iki kez kontrol edin.

Kötü amaçlı IP adreslerini kara listeye alabilir miyim?

Bu bariz bir çözüm gibi görünüyor – sadece bilgisayar korsanının IP adresini engelleyin ve güvende olacaksınız.

Bu fikirle oynama. Bilgisayar korsanlarıyla köstebek vurmak gibi. IP adreslerini değiştirmeye ve başka bir IP adresi kullanarak sitenize saldırmaya devam edecekler. Bunun sonu yok.

Yalnızca MalCare'in güvenlik duvarı gibi bir şey size yardımcı olabilir. Kötü amaçlı IP'leri ülke veya cihazdan otomatik olarak engelleyen Bot Koruması ile birlikte gelir. Gelişmiş güvenlik duvarı, ağındaki 250.000'den fazla siteden öğrenir ve botları ve kötü niyetli IP'leri bir saldırı başlatmadan önce tanır. Tüm bunlar sitenizi yavaşlatmadan.

Yine de, kötü niyetli IP'leri sonsuza kadar birer birer engellemeye devam etmek istiyorsanız, bu makale size yardımcı olacaktır.

XML-RPC dosyasını silemez miyim? WordPress artık kullanmıyor.

Bunu yapma. XML-RPC dosyası eksik olsa bile, siteniz ona bağlanmaya çalışan botlar tarafından aşırı yüklenmeye devam edecektir. Daha büyük risk, bir WordPress çekirdek dosyasının silinmesinin sitenizi tamamen mahvedebilmesidir.

En kötü yanı, xmlrpc.php'nin bir sonraki WordPress güncellemesi sırasında yeniden yüklenmesi ve bu da dosyayı silme amacını ortadan kaldırmasıdır.