xmlrpc.php Devre Dışı Bırakılmalı mı?

xmlrpc.php Devre Dışı Bırakılmalı mı?

XML-RPC bazı harici uygulamalar ile WordPress siteniz arasında uzak bağlantıları çalıştırır. Başka bir deyişle, WordPress’te bulunan verilerin iletilmesini sağlar. Aktarım mekanizması olarak HTTP bağlantısını, kodlama meknanizması olarak ise XML’yi kullanır.

En basit olarak örnek vermek gerekirse, xmlrpc.php WordPress sitenizde uzak bağlantı kurarak yazı ekleyebilmeyi, WordPress sitesini güncellemeyi veya mobil uygulamalardan (WordPress Android/IOS Uygulaması) erişimeyi sağlar. Ayrıca, trackback ve pingback işlemleri de gerçekleştirir. 

 

Neden xmlrpc.php Dosyası Tehlikeli ve Devre Dışı Bırakılmalıdır?

Attacker-Hacker

Bu php dosyası, trackback ve pingback özelliklerinden dolayı sitenizi DDoS saldırılarına karşı savunmasız bırakabilecek bir ek erişim noktası oluşturur. Örneğin, Brute Force saldırılarını önlemek için wp-login’e bir sınır koyabilirsiniz. Ancak, xmlrpc.php etkin ise bu sınırın bir anlamı kalmaz, xmlrpc açığı sayesinde saldırgan sınırsız bir giriş denemesine sahip olur. Ayrıca saldırganlar, xmlrpc.php dosyasına Python kullanarak; istek atma yönetimi ile WordPress websitenize index atabilirler. Eğer nulled tema kullanıyorsanız bu işlem onlar için zor olmayacaktır.

Bu dosyayı devre dışı bırakarak, saldırganların bir kozunu ellerinden almış olursunuz. Ancak, hatırlatmakta fayda var ki, xmlrpc.php olmadan uzaktan erişim mümkün değildir. Dolayısıyla, yazı yayınlamak, güncellemek vb. işlemler için WordPress sitenize doğrudan giriş yapmanız gerekir. Eğer websitenizi güvenli hale getirmek istiyorsanız XML-RPC özelliğini devre dışı bırakmanız çok iyi olacaktır.

 

xmlrpc.php Dosyasının WordPress Sitesinde Aktif Olduğu Nasıl Anlaşılır?

Kabaca,  web tarayıcınızda siteadı.com/xmlrpc.php olarak girerseniz;

XML-RPC server accepts POST requests only.

Karşınıza bu yazı çıkıyorsa xmlrpc.php aktiftir demektir. 

 

xmlrpc.php Dosyası Nasıl Devre Dışı Bırakılır?

Bu dosyayı devre dışı bırakmak için eklentilerde kullanabilirsiniz. Ancak benim tavsiyem .htaccess dosyanız ile bu dosyaya erişim engeli (403) vermeniz olacaktır. 

xmlrpc-htaccess

 

FileZilla aracılığıyla websitenizin dizinine bağlanın, “.htaccess” dosyasını bilgisayarınıza indirin. Ardından not defteri ile .htaccess dosyanızı açarak, aşağıdaki kodu ekleyin;

<Files “xmlrpc.php”>
order deny,allow
deny from all
</Files>

Kodu ekledikten sonra dosyayı kaydedip, sitenizin dizinine geri yükleyin. Ayrıca, buraya tıklayarak websitenizde XML-RPC’yi kontrol edebilirsiniz.

xmlrpc-checker

“Address” yazan kutucuğa websitenizi yazın ve ardından check butonuna tıklayın. 403 ya da erişilemez uyarıları alıyorsanız XML-RPC özelliği devre dışı bırakılmıştır demektir.

Yanıtla

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir