ایکون
100 قالب سایت آماده
897 هزار تومان
پیش نمایش
امنیت

آموزش مقابله با حملات XMLRPC در وردپرس

امکان هک سایت وردپرس با فعال بودن XMLRPC وجود دارد اما یک راهکار ساده محافظت از وردپرس در برابر حملات XML-RPC وجود دارد که در این مقاله به معرفی این راهکار می پردازیم.

2
11 تیر 1401
آخرین بروزرسانی: 16 اسفند 1402

یکی از موارد مهم که برای یک سایت اهمیت زیادی دارد توجه به امنیت است به همین دلیل به هر وبمستری توصیه میشود تمام موارد مهم در  آموزش افزایش امنیت سایت را جدی بگیرد و نکات امنیتی را در سایت پیاده سازی کند.

XML-RPC یا XML Remote Procedure Call یکی از ویژگی های وردپرس است که امکان انتقال داده ها را فراهم و از HTTP برای انتقال و از XML به عنوان مکانیزم رمزگذاری استفاده می کند؛ اما این امکان باعث ورود هکرها به سیستم شما شده و آن را در معرض خطر حملات BrutForce و حملات ddos قرار می دهد.در ویدئوی زیر ابتدا می گوییم حملات XML-RPC چیست و سپس به اقدامات امنیتی برای جلوگیری از دسترسی به XML-RPC در وردپرس می پردازیم.

جلوگیری از دسترسی به XML-RPC در وردپرس 

حملات XML-RPC چیست؟ هکرها در حملات فایل xmlrpc.php با صدا زدن یک خط کد و تست نام و رمز عبورهای متنوع، نام کاربری و رمز عبور شما را حدس می زنند و با ورود به سایتتان اقدامات مورد نظرشان را انجام می دهند. برای محافظت از وردپرس در برابر حملات XML-RPC بزرگ اگر هاست شما آپدیت باشد و یک فایروال ساده داشته باشد یا یک افزونه امنیتی خوب داشته باشید که تعداد رکوست ها را کنترل نمایند مشکلی به صورت جدی پیش نخواهد آمد ولی برای جلوگیری از بروز مشکلات امنیتی باید ریزترین نکات رعایت شوند تا آثار مخرب و بزرگتری بوجود نیاید. برای

برای بررسی اینکه این قابلیت برای شما فعال است یا نه در مرورگر درانتهای آدرس سایتتان xmlrpc.php را اضافه کنید. به عنوان مثال

https://test.ir/xmlrpc.php

fvvsd فعال بودن XMLRPC در وردپرس

همانطور که مشاهده می کنید این امکان فعال است.

برای جلوگیری از دسترسی به XML-RPC در وردپرس وارد هاستتان شوید و از قسمت File Manager پوشه Public-html را باز کنید و htaccess را انتخاب کنید و ویرایش کنید و کد زیر را به فایل htaccess کپی کنید.

Block WordPress xmlrpc.php requests# 
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

تغییرات را دخیره کنید مجدد به صفحه مرورگر برگردید و صفحه را رفرش کنید همانطور که میبینید خطای 403 ایجاد می شود.

سایر کدهایی که در ویدئو توضیح داده شد:

این کد برای جلوگیری از دسترسی به آپلود فایل است و تمام دسترسی های پوشه های وردپرس بصورت مستقیم رو غیرفعال می کند.

Options -Indexes

کد زیر دسترسی به فایل htaccess را امن می کند.

# Deny access to all .htaccess files
<files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>

کد زیر هم دسترسی به فایل wp-config را امن می کند.

<files wp-config.php>
order allow,deny
deny from all
</files>

رعایت نکات مهم امنیتی به همینجا ختم نمی شود در دوره امنیت سایت با یادگیری نکات و اصول مهم، سایتتان را در برابر انواع حملات محافظت کنید.

گروه انفورماتیک منتوروید
گروه انفورماتیک منتوروید
مقالات مرتبط
بنر
رفع خطاهای سایت، راهنمای حل 36 خطای رایج
مواجه شدن با خطاهای سایت تجربه ناخوشایندی را به کاربران منتقل می‌کند و اگر کاربر با آنها مواجه شود ممکن است خارج شده و دیگر به سایت شما بر نگردد پس وظیفه شما به عنوان صاحب کسب و کار یا دارنده سایت این است که در اسرع وقت آن خطا را رفع کنید. اگر شما هم در هنگام مواجهه با این خطاها نمی‌دانید چه ...
بنر
آموزش افزونه وردفنس
بعد از طراحی سایت وردپرسی یکی از مهم ترین نکات توجه به بخش امنیتی وب سایت است. حمله هکر ها و بد افزار ها کابوس بسیاری از وب مستران است. برای اینکه از این کابوس رها شوید علاوه بر رعایت کردن نکات امنیتی چون نام کاربری و رمز عبور قوی باید از افزونه های امنیتی استفاده کنید. ما در این مقاله به آموزش ...
بنر
آموزش مراحل فعالسازی SSL رایگان در سی پنل
یکی از اقدامات ضروری که در طراحی سایت قبل از هر چیز باید انجام دهید نصب گواهینامه SSL است که در واقع اولین اقدام برای تضمین امنیت سایت می باشد. نصب SSL برای همه سایت ها ضروری است به خصوص سایت های فروشگاهی که با اطلاعات بانکی کاربران سر و کار دارند. فعالسازی SSL رایگان از طریق سی پنل یکی از روش ...
بنر
تغییر آدرس ورود به پیشخوان وردپرس
تغییر آدرس ورود به پیشخوان وردپرس یکی از متداول ترین و آسان ترین کار ها برای بالا بردن سطح امنیت وب سایت های وردپرسی است تا این صفحه از دسترس هر چه راحت هکر ها در امان بماند.
2 دیدگاه
motorlanewsgame
motorlanewsgame
25 بهمن 1401 06:25

برای استفاده از اپ باید این قابلیت فعال باشه ، اون موقع چکار باید بکنیم ؟

آیا مفید بود ؟
0
گروه انفورماتیک منتوروید
گروه انفورماتیک منتوروید
25 بهمن 1401 08:14

سلام وقت بخیر ، برای استفاده از اپ میتونید یک فایل اختصاصی برای این نوع ارتباط بسازید با اسم دیگری . حتی میتونید دسترسی رو به روشهای مختلف،مانند یوزر ایجنت اپ، و سشن و.. محدود کنید.

آیا مفید بود ؟