Wordpress — как отключить управление сайтом через xmlrpc

Xmlrpc это инструмент для удаленного управления сайтом на WordPress.

В современных версиях Wordpress xmlrpc по-умолчанию включен и доступен по ссылке sitename/xmlrpc.php

Чем это опасно

Перебирая пароли через sitename/wp-admin злоумышленник может отправлять за один раз только одну пару “логин-пароль”. Перебирая пароли через xmlrpc можно отправлять за один HTTP запрос тысячи пар “логин-пароль”.

Это позволит подобрать пароль к сайту существенно быстрее. Кроме этого, подбор пароля через xmlrpc обычно не выглядит подозрительно для систем защиты от атак, которые часто ориентируются на количество запросов к сайту.

Также злоумышленник может использовать ваш сайт для анализа других сайтов при помощи метода pingback.ping.

Как проверить включен ли на моем сайте xmlrpc

Если вы используете Wordpress версии 3.5 и старше и специально не отключали xmlrpc, то с большой долей вероятности он включен на вашем сайте.

Проверить включен ли на вашем сайте xmlrpc можно на сайте xmlrpc.eritreo.it.

Если xmlrpc включен, то после проверки появится надпись

Congratulation! Your site passed the first check.

Как отключить xmlrpc на wordpress

1. Откройте панель управления сайтом. Она доступна по адресу http://sitename/wp-admin, где sitename - доменное имя вашего сайта.

2. В административной панели выберите раздел “Плагины”, далее “Добавить новый”.

3. В строке поиска наберите название плагина Disable xmlrpc и нажмите клавишу enter.

Далее нажмите “Установить” рядом с названием плагина Disable xmlrpc:

4. Через несколько секунд на месте кнопки “Установить” появится кнопка “Активировать”. Кликните на нее.

Теперь xmlrpc отключен. Готово!

В некоторых источниках написано, что xmlrpc это php уязвимость Wordpress. Как мы показали в этой статье, это не так. И теперь вы знаете, как отключить xmlrpc php в wordpress.