I de tidlige dage af WordPress var der funktioner, der gjorde det muligt for dig at interagere med dit websted på afstand. De samme egenskaber gjorde det muligt at opbygge et fællesskab ved at give andre bloggere adgang din blog. Det vigtigste værktøj, der bruges til dette formål er " XML-RPC '.
« XML-RPC "Eller" XML Remote Procedure Call Giver WordPress stor kraft:
- Opretter forbindelse til dit websted med en SmartPhone
- TrackBacks og Pingbacks på din blog
- Avanceret brug af Jetpack
Men der er et problem med " XML-RPC ", som du skal løse for at bevare sikkerheden for din WordPress blog.
Sådan bruges XML-RPC på WordPress
Lad os gå tilbage i de tidlige dage af Blogging "(godt før WordPress), de fleste forfattere på internettet brugt dial-up At surfe på nettet. Det var svært at skrive artikler og sende dem online. Løsningen var at skrive til din computer offline og " kopimaskine / coller Din artikel. Mennesker, der brugte denne metode, syntes det var særlig vanskeligt, fordi deres tekst ofte havde fremmedkoder, selvom dokumentet blev gemt i HTML-format.
Blogger har oprettet en applikationsprogrammeringsgrænseflade (API) for at give andre udviklere adgang til Blogger-blogs. Det var nok at specificere navnet på webstedet, som tillod brugere at oprette artikler offline og derefter oprette forbindelse til Blogger API via XML-RPC. Andre blogging-systemer fulgte trop, og i sidste ende var der en MetaWeblogAPI, der standardiserede adgang som standard.
Efter ti år er de fleste af vores applikationer på vores telefoner og tablets. En af de ting, folk kan lide at gøre med deres telefoner, er at skrive til deres WordPress blog. I 2008-09 blev Automattic tvunget til at oprette en WordPress-applikation til stort set alle mobiloperativsystemer (samme Blackberry og Windows Mobile).
Disse applikationer tillod via XML-RPC-grænsefladen at bruge dine WordPress.com-legitimationsoplysninger til at oprette forbindelse til et WordPress-websted, hvor du har visse adgangsrettigheder.
Hvorfor skal vi glemme XML-RPC?
Kompatibilitet med XML-RPC Har været en del af WordPress siden første dag. WordPress 2.6 blev frigivet den 15. juli 2008, og aktiveringen af " XML-RPC Er føjet til WordPress-indstillinger og er standard til " af '.
En uge senere blev en version af WordPress til iPhone frigivet, og brugerne blev bedt om at aktivere funktionen. Fire år efter at iPhone-appen blev medlem af familien, aktiverede WordPress 3.5 " XML-RPC '.
De største svagheder forbundet med XML-RPC er:
- Brute force angreb: Angribere prøver at logge ind på WordPress ved hjælp af xmlrpc.php med så mange brugernavn og adgangskode kombinationer. Der er ingen testrestriktioner. En metode i xmlrpc.php tillader angriberen at bruge en enkelt kommando (system.multicall) at gætte hundredvis af adgangskoder.
- Denial of Service angreb via Pingback
Bekvemmelighed vs. WordPress Security
Så her går vi igen. Den moderne verden er dybt kedelig med sine kompromiser.
Hvis du vil sikre dig, at ingen bringer en bombe på din båd, skal du bare køre den gennem metaldetektorerne. Hvis du vil beskytte din bil, mens du handler, skal du låse dørene og lukke vinduerne. Du kan ikke bare stole på webstedsadgangskoden for at beskytte den (giver bilvinduer tilstrækkelig beskyttelse?), især hvis du bruger Jetpack eller mobilapps.
Sådan deaktiveres XML-RPC på WordPress
Så du er blevet afhængig af alle disse værktøjer, som igen er afhængige af XML-RPC. Jeg forstår, at du ikke rigtig vil slå "XML-RPC" fra, selv i et stykke tid.
Her er dog et par plugins, der hjælper dig med at gøre dette:
- Stop XML-RPC Attack : giver kun Jetpack og andre Automattic-værktøjer adgang til xmlrpc.php gennem .htaccess.
- Kontrol XML-RPC Publishing: vender simpelthen den gamle fjernudgivelsesmulighed tilbage til skriveindstillingerne.
- iThemes Security, Anti-Malware Security , Brute-Force Firewall et Alt i en WP-sikkerhed og firewallDisse generelle sikkerhedsværktøjer inkluderer beskyttelse mod brute force i gratis versioner. De holder øje med gentagne loginforsøg med eller uden xmlrpc.php og beskytter dig mod forespørgsler, der prøver at ødelægge dit websted.
REST (og OAuth) til redning
Nu ved du måske, at WordPress-udviklere henvender sig til REST-løsning. Udviklerne på REST API-teamet havde nogle få problemer med at blive klar, herunder med godkendelsesmønten, der var beregnet til at løse XML-RPC-problemet. Når dette endelig er implementeret (er i øjeblikket planlagt til WordPress 4.7 i slutningen af 2016), behøver du ikke at bruge XML-RPC til at oprette forbindelse til software som JetPack.
I stedet vil du autentificere via OAuth-protokollen. Hvis du ikke ved, hvad en OAuth-protokol er, skal du huske, hvad der sker, når et websted beder dig om at logge ind med Google, Facebook eller endda Twitter. Generelt på disse platforme er den anvendte protokol OAuth.
WordPress REST API-test
Som jeg sagde tidligere, er REST API endnu ikke integreret i WordPress-kernen og vil ikke være i flere måneder. I dag kan du begynde at teste det i dine testmiljøer:
Rest API vil helt sikkert være WordPress's fremtid. Vi har allerede skrevet flere tutorials om sidstnævnte, der giver dig ideer til, hvordan du kan begynde at implementere det:
- Sådan ved du hvornår du skal bruge Rest API
- Sådan bruges Rest API
- 7 effektive implementeringer af Rest API
- Sådan bruges WordPress HTTP API
Det var det for denne tutorial. Jeg håber, du vil blive bedre informeret om de risici, der er forbundet med brugen af XML-RPC. Tøv ikke med at stille os spørgsmål i formular kommentarer.
