WordPress Disabilita XMLRPC: Guida completa (tramite codice o plug-in)
Pubblicato: 2022-01-10Cerchi un plugin per disabilitare XMLRPC per WordPress? O forse vuoi disabilitare manualmente XMLRPC tramite uno snippet di codice breve? Non cercare oltre perché in questo articolo ti mostreremo come disabilitare XMLRPC usando entrambi i metodi.
Ma prima di approfondire i passaggi per entrambi i metodi, proveremo a rispondere ad alcune domande di base a cui probabilmente stai pensando, come:
- Quanto è grande una minaccia alla sicurezza XMLRPC?
- Perché esiste in primo luogo?
- Disabilitare l'XMLRPC è sufficiente?
Stai tranquillo, risponderemo a tutte le tue domande scottanti. Ora, iniziamo. Ecco cosa tratteremo:
Sommario:
- Come disabilitare XMLRPC con un plugin
- Come disabilitare manualmente XMLRPC
- Niente ha funzionato? Leggi questo
Quando non disabilitare XMLRPC?
L'XMLRPC è stato sviluppato per consentire a WordPress di comunicare con altri sistemi. Ad esempio, l'utilizzo dell'applicazione WordPress sul tuo cellulare richiede XMLRPC.
Al giorno d'oggi, non hai davvero bisogno di XMLRPC a causa dell'API REST che ora trasferisce i dati tra WordPress e altri sistemi.
Detto questo, XMLRPC è ancora incluso in un'installazione di WordPress a causa della compatibilità con le versioni precedenti . Sappiamo tutti che mantenere aggiornato il tuo sito Web è estremamente importante, ma ci sono casi in cui i proprietari di siti Web decidono di trattenere gli aggiornamenti. E se il loro sito è in esecuzione su una versione precedente all'API REST, è meglio mantenere abilitato il file XMLRPC.
Tuttavia, come forse già saprai, il più grande svantaggio di mantenere abilitato il file XMLRPC è che è noto che introduce vulnerabilità in un sito Web WordPress. Pertanto, ti consigliamo vivamente di installare un plug-in di sicurezza di WordPress sul tuo sito per tenere a bada gli hacker.
Potresti voler conservare il file PHP (ad esempio XMLRPC.php) quando stai usando un'applicazione che non può accedere all'API REST ma può accedere a XMLRPC. In questo caso particolare, XMLRPC è solo una soluzione temporanea e ti consigliamo vivamente di trovare un'applicazione compatibile con l'API REST.
Ora che sai quando non disabilitare l'XMLRPC, diamo un'occhiata a tutti i motivi validi per cui dovresti disabilitare il file PHP:
Il motivo comune per disabilitare il file XMLRPC è che rende il tuo sito Web vulnerabile agli attacchi di hacking, come DDoS e attacchi di forza bruta. Il file PHP tende anche a consumare molte delle risorse del tuo server, rendendo il tuo sito web molto lento.
Alcuni plugin, come Jetpack, sono noti per avere problemi con XMLRPC.
Quindi, se vuoi disabilitare il file XMLRPC, segui i passaggi seguenti.
Come disabilitare XMLRPC
Esistono due modi per disabilitare il file XMLRPC. Puoi farlo usando un plugin o manualmente. Copriamo entrambi i metodi di seguito. Immergiamoci...
Importante: prima di procedere ulteriormente, esegui un backup dell'intero sito Web. Per seguire questo tutorial, devi installare un plugin o modificare i tuoi file WordPress. È noto che i siti Web si rompono spesso quando viene installato un nuovo plug-in e la modifica dei file è un'attività rischiosa. I backup sono una rete di sicurezza su cui puoi fare affidamento in circostanze sfortunate. Quindi, assicurati di eseguire un backup prima di procedere.
WordPress disabilita XMLRPC con un plugin
Ci sono molti plugin che disabiliteranno XMLRPC sul tuo sito Web WordPress. In questo tutorial utilizzeremo quello più popolare: Disable XML-RPC . Se non puoi usarlo, puoi provare una delle seguenti alternative:
- Disabilita API XML-RPC
- Rimuovi e disabilita il pingback XML-RPC
Suggerimento per professionisti: sul tuo sito Web è installato un plug-in di sicurezza? Quindi chiedi se puoi disabilitare XMLRPC usando quel plugin di sicurezza. Ad esempio, iThemes può disabilitare XMLRPC con il semplice clic di un pulsante.
Ora disabilitiamo XMLRPC usando il plugin Disable XML-RPC.
Scarica e installa il plugin Disable XML-RPC sul tuo sito Web WordPress. E questo è tutto. Il plugin disabiliterà automaticamente il file PHP senza che tu debba alzare un dito.
Versione corrente: 1.0.1
Ultimo aggiornamento: 10 luglio 2021
disable-xml-rpc.1.0.1.zip
L'uso dei plug-in è un ottimo modo per risolvere i problemi su un sito Web WordPress, ma c'è uno svantaggio nell'installazione dei plug-in. Consuma molte delle risorse del tuo server. Ecco perché il modo manuale potrebbe essere preferibile a molti proprietari di siti Web.
WordPress disabilita manualmente XMLRPC
Esistono tre modi per disabilitare manualmente l'XMLRPC. Puoi farlo usando un filtro o modificando i file di configurazione .htaccess o Ngnix. Proviamoli tutti.
Disabilita usando il file .htaccess
Per modificare il file .htaccess, dovrai aprire il tuo account di hosting, andare su cPanel → File Manager → public_html → .htaccess . Basta fare clic con il tasto destro e selezionare Modifica sul file .htaccess. Successivamente, inserisci il seguente codice alla fine del file:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>Non dimenticare di premere Salva prima di chiudere la finestra o la scheda.
Nota a margine: se non hai mai avuto a che fare con il back-end del tuo sito Web WordPress, la modifica del file .htacess sarà un compito arduo. Ti consigliamo di saperne di più sulle funzioni e l'importanza del file e quindi di provare vari metodi per modificare il file .htaccess.
Disabilita usando il file di configurazione di Ngnix
Prima di mostrarti i passaggi, ecco un disclaimer. Questo particolare metodo è efficace solo se il tuo sito web è ospitato su un server Nginx.
Non sei sicuro che il tuo sito web sia ospitato su Nginx? Ecco come puoi scoprirlo:
1. Fare clic con il pulsante destro del mouse in un punto qualsiasi del sito Web, quindi selezionare Ispeziona .
2. Vai su Rete e ti verrà chiesto di ricaricare il sito web. Quindi, seleziona Tutto .
3. Viene visualizzato un elenco di dati in una sezione denominata Nome . Fai clic su uno qualsiasi dei dati e sul pannello laterale, vai all'intestazione e scorri verso il basso. Dovresti vedere il nome del tuo server .
Se il tuo sito è ospitato su Ngnix, procedi al passaggio successivo.
Apri il file di configurazione di Nginx e inserisci il seguente codice nel file:
location ~* ^/xmlrpc.php$ { return 403; }Dopo aver salvato le impostazioni, se apri il file XMLRPC dal frontend del tuo sito web, verrà generato un errore 403. Guarda tu stesso. Aggiungi semplicemente /xmprpc.php (https://yourwebsite.com/xmlrpc.php) alla fine del tuo sito web e premi invio.
Disabilita usando un filtro
Puoi disabilitare il file XMLRPC scrivendo un plugin e quindi aggiungendo il seguente filtro al plugin e assicurandoti che il plugin sia installato e attivato sul tuo sito web.
add_filter( 'xmlrpc_enabled', '__return_false' );Come puoi capire, questa particolare opzione è l'ideale per gli sviluppatori. Per le persone con capacità tecniche ordinarie, suggeriamo le opzioni del file config o .htaccess.
Niente ha funzionato?
Se hai provato i passaggi che abbiamo mostrato in questo articolo ma non sei riuscito a ottenere i risultati desiderati, parla con il tuo provider di hosting. Dovrebbero essere in grado di dirti cosa non va e come disabilitare XMLRPC sul tuo sito Web WordPress.
Conclusione
La disabilitazione di XMLRPC assicurerà che il tuo sito Web sia protetto da determinati tipi di attacchi hacker, come DDoS e attacchi di forza bruta. Ma ci sono molti altri modi per invadere il tuo sito Web, quindi ti consigliamo di seguire la nostra guida sulla sicurezza di WordPress per garantire una protezione completa del tuo sito WordPress.
Questo è tutto per questo, gente! Sei riuscito a disabilitare XMLRPC su WordPress? Fateci sapere nei commenti qui sotto.