Nos primeiros dias do WordPress, havia recursos que permitiam interagir remotamente com seu site. Essas mesmas características possibilitaram a construção de uma comunidade ao permitir que outros blogueiros acessassem seu blog. A principal ferramenta utilizada para esse fim é “ XML-RPC ".
« XML-RPC "Ou" XML Remote Procedure Call Dá grande poder ao WordPress:
- Conectando ao seu site com um SmartPhone
- TrackBacks e Pingbacks ativados seu blog
- Uso avançado do Jetpack
Mas há um problema com o " XML-RPC ", que você deve resolver para preservar a segurança do seu blog WordPress.
Como o XML-RPC é usado no WordPress
Vamos voltar nos primeiros dias de Blogging "(muito antes de WordPress), a maioria dos autores na Internet usou dial-up Para navegar na web. Foi difícil escrever artigos e enviá-los online. A solução foi escrever para o seu computador offline e " copiadora / coller O seu artigo As pessoas que usaram esse método o consideraram particularmente difícil porque seu texto geralmente tinha códigos estrangeiros, mesmo que o documento fosse salvo no formato HTML.
O Blogger criou uma interface de programação de aplicativo (API) para permitir que outros desenvolvedores acessem blogs do Blogger. Bastava especificar o nome do site, o que permitia aos usuários criar artigos offline e depois se conectar à API do Blogger por meio de XML-RPC. Outros sistemas de blog seguiram o exemplo e, em última análise, havia um MetaWeblogAPI que padronizou o acesso por padrão.
Após dez anos, a maioria de nossos aplicativos está em nossos telefones e tablets. Uma das coisas que as pessoas gostam de fazer com seus telefones é postar em seus blog WordPress. Em 2008-09, a Automattic foi forçada a criar um aplicativo WordPress para praticamente todos os sistemas operacionais móveis (mesmo Blackberry e Windows Mobile).
Esses aplicativos permitiam, por meio da interface XML-RPC, usar suas credenciais do WordPress.com para se conectar a um site do WordPress onde você tem certos direitos de acesso.
Por que devemos esquecer o XML-RPC?
Compatibilidade com o XML-RPC Faz parte do WordPress desde o primeiro dia. O WordPress 2.6 foi lançado em 15 de julho de 2008 e a ativação do " XML-RPC Foi adicionado às configurações do WordPress e o padrão é " Off ".
Uma semana depois, uma versão do WordPress para iPhone foi lançada e os usuários foram solicitados a ativar o recurso. Quatro anos depois que o aplicativo para iPhone se juntou à família, o WordPress 3.5 ativou o " XML-RPC ".
Os principais pontos fracos associados ao XML-RPC são:
- Ataques de força bruta: os invasores tentam fazer login no WordPress usando xmlrpc.php com quantas combinações de nome de usuário e senha. Não há restrições de teste. Um método em xmlrpc.php permite que o invasor use um único comando (system.multicall) Para adivinhar centenas de senhas.
- Ataques de negação de serviço via Pingback
Conveniência vs. Segurança do WordPress
Então, aqui vamos nós novamente. O mundo moderno é profundamente chato com seus compromissos.
Se você quiser ter certeza de que ninguém trará uma bomba em seu barco, basta colocá-la nos detectores de metal. Se quiser proteger o seu carro durante as compras, tranque as portas e feche as janelas. Você não pode simplesmente confiar na senha do site para protegê-lo (as janelas do carro oferecem proteção suficiente?), Especialmente se você usar Jetpack ou aplicações móveis.
Como desativar o XML-RPC no WordPress
Portanto, você se tornou dependente de todas essas ferramentas que, por sua vez, dependem do XML-RPC. Eu entendo que você realmente não deseja desligar o "XML-RPC" nem por um momento.
No entanto, aqui estão alguns plug-ins que o ajudarão a fazer isso:
- Pare Ataque XML-RPC : permite apenas que o Jetpack e outras ferramentas do Automattic acessem xmlrpc.php por meio de .htaccess.
- Controle Publishing XML-RPC: simplesmente reverte a antiga opção de publicação remota para as opções de gravação.
- iThemes Security, Anti-Malware Segurança e Brute-Force Firewall et Tudo em um WP Segurança e FirewallEssas ferramentas de segurança de uso geral incluem proteção contra força bruta em versões gratuitas. Eles observam tentativas repetidas de login com ou sem xmlrpc.php e protegem você de consultas que estão tentando quebrar seu site.
REST (e OAuth) para o resgate
Agora você deve saber que os desenvolvedores do WordPress estão recorrendo à solução REST. Os desenvolvedores da equipe da API REST tiveram alguns problemas para se preparar, inclusive com a moeda de autenticação destinada a corrigir o problema XML-RPC. Quando isso for finalmente implementado (atualmente programado para o WordPress 4.7 no final do 2016), você não precisará usar o XML-RPC para conectar-se a softwares como o JetPack.
Em vez disso, você se autenticará pelo protocolo OAuth. Se você não souber o que é um protocolo OAuth, lembre-se do que acontece quando um site solicita que você faça login no Google, Facebook ou mesmo Twitter. Geralmente nessas plataformas, o protocolo usado é o OAuth.
Teste de API REST do WordPress
Como eu disse antes, a API REST ainda não está integrada ao núcleo do WordPress, e não estará por meses. Hoje você pode começar a testá-lo em seus ambientes de teste:
A API Rest será definitivamente o futuro do WordPress. Já escrevemos vários tutoriais sobre o último que lhe darão ideias sobre como você pode começar a implementá-lo:
- Como saber quando usar a API Rest
- Como usar a API Rest
- 7 implementações eficazes da API Rest
- Como usar a API HTTP do WordPress
É isso para este tutorial. Espero que você esteja melhor informado sobre os riscos associados ao uso de XML-RPC. Não hesite em nos fazer perguntas no formulário comentários.