Ir para o conteúdo principal

XML-RPC: Por que você deve desativá-lo no seu blog WordPress?

Divi: o tema WordPress mais fácil de usar

Divi: O melhor tema WordPress de todos os tempos!

mais Downloads 600.000Divi é o tema WordPress mais popular do mundo. É completo, fácil de usar e vem com mais de modelos livres 62. [Recomendado]

Nos primeiros dias do WordPress, havia recursos que lhe permitiam interagir remotamente com seu site. Esses mesmos recursos criaram uma comunidade, permitindo que outros blogueiros acessem seu blog. A principal ferramenta usada para esse fim é " XML-RPC ".

« XML-RPC "Ou" XML Remote Procedure Call Dá grande poder ao WordPress:

  • Conectando ao seu site com um SmartPhone
  • Trackbacks e pingbacks seu blog
  • Uso avançado do Jetpack

Mas há um problema com o " XML-RPC », Que você deve resolver para preservar a segurança do seu blog WordPress.

Como o XML-RPC é usado no WordPress

Vamos voltar nos primeiros dias de Blogging "(muito antes de WordPress), a maioria dos autores na Internet usou dial-up Para navegar na web. Foi difícil escrever artigos e enviá-los online. A solução foi escrever no seu computador offline e " copiadora / coller O seu artigo As pessoas que usaram esse método o consideraram particularmente difícil porque seu texto geralmente tinha códigos estrangeiros, mesmo que o documento fosse salvo no formato HTML.

O Blogger criou uma interface de programação de aplicativos (API) para permitir que outros desenvolvedores acessem os blogs do Blogger. Foi o suficiente para especificar o nome do site, o que permitiu aos usuários criar artigos offline e conectar-se à API do Blogger por XML-RPC. Outros sistemas de blogs seguiram o exemplo, e finalmente houve um MetaWeblogAPI que padronizou o acesso padrão.

Após dez anos, a maioria dos nossos aplicativos está em nossos telefones e tablets. Uma das coisas que as pessoas gostam de fazer com seus telefones é postar em seu blog WordPress. No 2008-09, a Automattic foi forçada a criar um aplicativo WordPress para praticamente todos os sistemas operacionais móveis (mesmo Blackberry e Windows Mobile).

Crie facilmente seu site com Elementor

Elementor permite criar facilmente qualquer design de site com uma aparência profissional. Pare de pagar caro pelo que você pode fazer por si mesmo. [Grátis]

Esses aplicativos permitem, por meio da interface XML-RPC, usar suas credenciais do WordPress.com para conectar-se a um site do WordPress em que você possui certos direitos de acesso.

Por que temos que esquecer o XML-RPC?

Compatibilidade com o XML-RPC Faz parte do WordPress desde o primeiro dia. O WordPress 2.6 foi lançado em 15 em julho, e a ativação do " XML-RPC Foi adicionado às configurações do WordPress e o padrão é " Off ".

Uma semana depois, uma versão do WordPress para iPhone foi lançada e os usuários foram solicitados a ativar o recurso. Quatro anos depois que o aplicativo do iPhone se juntou à família, o WordPress 3.5 ativou o recurso " XML-RPC ".

Você está procurando os melhores temas e plugins do WordPress?

Baixe os melhores plugins e temas WordPress no Envato e crie facilmente o seu site. Já mais do que 49.720.000 downloads. [EXCLUSIVO]

Os principais pontos fracos associados ao XML-RPC são:

  • Ataques brutais: os atacantes tentam se conectar ao WordPress usando xmlrpc.php com tantas combinações de nome de usuário e senha. Não há restrições de teste. Um método no xmlrpc.php permite que o invasor use um único comando (system.multicall) Para adivinhar centenas de senhas.
  • Ataques de negação de serviço via Pingback

Conveniência vs. Segurança do WordPress

Então, aqui vamos nós novamente. O mundo moderno é profundamente chato com seus compromissos.

Se você quiser garantir que ninguém traga uma bomba em seu barco, basta passar pelos detectores de metal. Se você deseja proteger seu carro enquanto faz compras, tranque as portas e feche as janelas. Você não pode confiar apenas na senha do site para protegê-lo (As janelas de um carro são uma proteção suficiente?), Especialmente se você usar Jetpack ou aplicações móveis.

Como desativar o XML-RPC no WordPress

Portanto, você se tornou dependente de todas essas ferramentas que, por sua vez, dependem do XML-RPC. Entendo que você realmente não deseja desativar o "XML-RPC" nem por um tempo.

No entanto, aqui estão alguns plugins que irão ajudá-lo:

REST (e OAuth) para o resgate

Agora, você deve saber que os desenvolvedores do WordPress estão se voltando para a solução REST. Os desenvolvedores da equipe da API REST tiveram alguns problemas para se preparar, inclusive com a parte de autenticação para resolver o problema de XML-RPC. Quando isso for finalmente implementado (atualmente programado para o WordPress 4.7 no final do 2016), você não precisará usar o XML-RPC para conectar-se a softwares como o JetPack.

Em vez disso, você se autenticará pelo protocolo OAuth. Se você não souber o que é um protocolo OAuth, lembre-se do que acontece quando um site solicita que você faça login no Google, Facebook ou mesmo Twitter. Geralmente nessas plataformas, o protocolo usado é o OAuth.

Crie facilmente sua loja online

Baixe gratuitamente o WooCommerce, os melhores plugins de e-commerce para vender seus produtos físicos e digitais no WordPress. [Recomendado]

Testes API REST WordPress

Como eu disse anteriormente, a API REST ainda não está integrada ao kernel do WordPress e não será integrada por meses. Hoje, você pode começar a testá-lo em seus ambientes de teste:

A API Rest será definitivamente o futuro do WordPress. Já escrevemos vários tutoriais sobre este último, que fornecerão idéias sobre como você pode começar a implementá-lo:

É isso neste tutorial. Espero que você esteja melhor informado sobre os riscos do uso de XML-RPC. Sinta-se à vontade para nos fazer perguntas no formulário de comentários.

Este artigo contém comentários 0

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios estão marcados com *

Este site usa Akismet para reduzir indesejados. Saiba mais sobre como seus dados de comentários são usados.

De volta ao topo
23 ações
ação18
chilrear2
Enregistrer3