آموزش مقابله با حملات XMLRPC در وردپرس
امکان هک سایت وردپرس با فعال بودن XMLRPC وجود دارد اما یک راهکار ساده محافظت از وردپرس در برابر حملات XML-RPC وجود دارد که در این مقاله به معرفی این راهکار می پردازیم.
یکی از موارد مهم که برای یک سایت اهمیت زیادی دارد توجه به امنیت است به همین دلیل به هر وبمستری توصیه میشود تمام موارد مهم در آموزش افزایش امنیت وردپرس را جدی بگیرد و نکات امنیتی را در سایت پیاده سازی کند.
XML-RPC یا XML Remote Procedure Call یکی از ویژگی های وردپرس است که امکان انتقال داده ها را فراهم و از HTTP برای انتقال و از XML به عنوان مکانیزم رمزگذاری استفاده می کند؛ اما این امکان باعث ورود هکرها به سیستم شما شده و آن را در معرض خطر حملات BrutForce و حملات ddos قرار می دهد.در ویدئوی زیر ابتدا می گوییم حملات XML-RPC چیست و سپس به اقدامات امنیتی برای جلوگیری از دسترسی به XML-RPC در وردپرس می پردازیم.
دوره امنیت سایت مجموعهای از اقدامات اصولی و عملی را یاد میگیرید تا در برابر انواع حملات وردپرسی از سایت خود محافظت کنید.
جلوگیری از دسترسی به XML-RPC در وردپرس
حملات XML-RPC چیست؟ یکی از انواع روشهای هک است. هکرها در حملات فایل xmlrpc.php با صدا زدن یک خط کد و تست نام و رمز عبورهای متنوع، نام کاربری و رمز عبور شما را حدس می زنند و با ورود به سایتتان اقدامات مورد نظرشان را انجام می دهند. برای محافظت از وردپرس در برابر حملات XML-RPC بزرگ اگر هاست شما آپدیت باشد و یک فایروال ساده داشته باشد یا یک افزونه امنیتی خوب داشته باشید که تعداد رکوست ها را کنترل نمایند مشکلی به صورت جدی پیش نخواهد آمد ولی برای جلوگیری از بروز مشکلات امنیتی باید ریزترین نکات رعایت شوند تا آثار مخرب و بزرگتری بوجود نیاید. برای برای بررسی اینکه این قابلیت برای شما فعال است یا نه در مرورگر درانتهای آدرس سایتتان xmlrpc.php را اضافه کنید. به عنوان مثال
https://test.ir/xmlrpc.php
همانطور که مشاهده می کنید این امکان فعال است.
برای جلوگیری از دسترسی به XML-RPC در وردپرس وارد هاستتان شوید و از قسمت File Manager پوشه Public-html را باز کنید و htaccess را انتخاب کنید و ویرایش کنید و کد زیر را به فایل htaccess کپی کنید.
Block WordPress xmlrpc.php requests# <Files xmlrpc.php> order deny,allow deny from all </Files>
تغییرات را دخیره کنید مجدد به صفحه مرورگر برگردید و صفحه را رفرش کنید همانطور که میبینید خطای 403 ایجاد می شود.
همانطور که گفته شد استفاده از افزونههای امنیتی یا یک فایروال، امنیت سایت شما تضمین میکند. افزونه وردفنس و افزونه Really simple ssl به عنوان یک اسکنر و فایروال امنیتی همه نیاز سایت شما را برآورده میکند.
سایر کدهایی که در ویدئو توضیح داده شد:
این کد برای جلوگیری از دسترسی به آپلود فایل است و تمام دسترسی های پوشه های وردپرس بصورت مستقیم رو غیرفعال می کند.
Options -Indexes
کد زیر دسترسی به فایل htaccess را امن می کند.
# Deny access to all .htaccess files
<files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>
کد زیر هم دسترسی به فایل wp-config را امن می کند.
<files wp-config.php>
order allow,deny
deny from all
</files>
برای استفاده از اپ باید این قابلیت فعال باشه ، اون موقع چکار باید بکنیم ؟
سلام وقت بخیر ، برای استفاده از اپ میتونید یک فایل اختصاصی برای این نوع ارتباط بسازید با اسم دیگری . حتی میتونید دسترسی رو به روشهای مختلف،مانند یوزر ایجنت اپ، و سشن و.. محدود کنید.
سلام
آیا تغییر نام این نام هم میتونه راهکاری برای عدم دسترسی باشه ؟ مشکای ایجاد نمی کنه ؟