Promocja: pl – od 10 zł | eu – od 10 zł | com – od 40 zł
Certyfikat SSL z szyfrowaniem ECDSA -60% Wybieram

Jak zablokować plik xmlrpc.php w WordPressie?

Za co odpowiada xmlrpc.php?

W głównym katalogu aplikacji WordPressa można znaleźć m.in. plik o nazwie xmlrpc.php. Poprzez funkcję XML-RPC odpowiada on komunikację rożnych zewnętrznych systemów z Twoją instalacją CMS.

Plik jest standardowo instalowany wraz z pozostałymi elementami WordPressa i sama jego obecność nie jest zagrożeniem dla aplikacji. Jednak w połączeniu z aktywnym protokołem XML-RPC może on stanowić potencjalną drogę, dzięki której hakerzy będą mogli zaatakować Twoją stronę i wykorzystać ją np. do rozsyłania niechcianych wiadomości e-mail (spamu) czy też prowokowania ataków DDoS.

Samo usunięcie pliku z katalogu WordPressa nie spowoduje wyłączenia funkcji XML-RPC, a więc nie warto tego robić. Warto natomiast rozważyć zablokowanie pliku, tak aby nie dopuszczać do niego potencjalnie złego ruchu sieciowego. Tę czynność można wykonać na dwa opisane poniżej sposoby.

 

Zablokowanie pliku xmlrpc.php za pomocą wpisu w .htaccess

Do zablokowania xmlrpc.php można użyć odpowiedniego wpisu w .htaccess instalacji WordPressa. W tym celu zaloguj się na serwer poprzez FTP (Sprawdź: WinSCP – konfiguracja programu do połączeń sFTP), a następnie przejdź do folderu z aplikacją. Skopiuj plik .htaccess na dysk przed jego edycją, abyś w razie potrzeby mógł przywrócić go do oryginalnego stanu, jeśli okazałoby się to konieczne.

Otwórz kopię pliku .htaccess w dowolnym edytorze i na samym końcu dodaj w nim poniższy wpis:

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Zapisz plik .htaccess i wgraj go z powrotem na serwer.

Jeżeli w swojej instalacji WordPressa wykorzystujesz takie wtyczki jak JetPack, ValuePress lub używasz jakiejś zewnętrznej aplikacji wymagającej działania funkcji XML-RPC, zastosuj inne reguły blokującej plik xmlrpc.php w .htaccess:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
Satisfy All
</Files>

Po zapisaniu zmiany w pliku .htaccess wgraj go na serwer i zweryfikuj poprawność działania strony WWW.

 

Zablokowanie pliku xmlrpc.php za pomocą ustawień WordPressa

Zablokowanie pliku xmlrpc.php możesz wykonać także poprzez Kokpit WordPressa. Po zalogowaniu do niego w lewym menu wybierz zakładkę Wygląd i kliknij Edytor plików motywu (1).

WordPress blokada xmlrpc edycja motywu

Wyświetlone zostanie okno edycji poszczególnych ustawień. Po prawej stronie widoczne będzie dodatkowe menu umożliwiające edycję poszczególnych plików motywu. Kliknij opcję Funkcje motywu (1).

WordPress blokada xmlrpc edycja motywu kliknij

Po wyświetleniu zawartości Funkcji motywu przewiń wpisy na sam dół, a następnie w ostatniej linijce umieść:

add_filter('xmlrpc_enabled', '__return_false');


Po dodaniu tego wpisu (1) kliknij przycisk Zaktualizuj plik (2).

WordPress blokada xmlrpc functions wpis

Po zakończeniu prac zweryfikuj poprawność działania swojej strony WWW.

Table of Contents