XML-RPC چیست؟

XML-RPC یک پروتکل مبتنی بر XML است و برای تبادل اطلاعات بین یک سیستم کامپیوتری از طریق یک شبکه استفاده می شود. XML-RC توسط Dave Winer در سال 1998 اختراع شد. XML-RPC از پروتکل HTTP برای حمل و نقل استفاده می کند و به ساختارهای داده پیچیده امکان انتقال و پردازش را می دهد.

XML-RPC عمدتا برای ادغام چندین محیط محاسباتی بدون نیاز به اشتراک مستقیم ساختارهای پیچیده داده استفاده می شود. XML-RPC به راحتی ارتباط سریعتری بین رایانه ها از طریق یک شبکه برقرار می کند. XML-RPC در Perl ، جاوا ، پایتون ، C ، C ++ ، PHP و بسیاری از زبان های برنامه نویسی دیگر استفاده می شود.

وقتی مشتری هر قسمت از وب سایت وردپرس شما را از راه دور مدیریت می کند ، به فایل XMLRPC دسترسی دارید. یک پیام XML-RPC در واقع یک درخواست HTTP-POST است. درخواست ها و پاسخ هایی وجود دارد که بدنه درخواست در قالب XML خواهد بود. روشی این کار را روی سرور اجرا می کند و مقدار را برمی گرداند. این مقدار نیز در قالب XML خواهد بود.

فایل Xmlrpc.php چیست و چرا باید غیرفعال شود؟

XML-RPC یک ویژگی در وردپرس است که انتقال داده ها را با HTTP به عنوان مکانیسم حمل و نقل و XML به عنوان مکانیزم رمزگذاری امکان پذیر می کند. از آنجا که وردپرس یک سیستم محصور نیست ، لازم است گاهی اوقات با سیستم های دیگر ارتباط برقرار کند تا این کار را انجام دهد. به عنوان مثال ، در صورت نیاز به ارسال پست در وب سایت از طریق دستگاه تلفن همراه ، می توانید از ویژگی دسترسی از راه دور که توسط xmlrpc.php فعال شده است استفاده کنید. این فایل xmlrpc.php اجازه می دهد تا وب سایت را از طریق تلفن هوشمند متصل کنید و همچنین پیگیری ها و پینگ بک های دیگر عملکردهای مرتبط با افزونه Jetpack و همچنین سایر وب سایت ها را پیاده سازی می کند.

اما به دلیل XML-PRC ، فرصتی برای نگرانی های امنیتی وجود دارد. هیچ مشکل امنیتی مستقیم با XML-RPC وجود ندارد ، اما به دلیل پرونده هایی است که می توانند برای فعال کردن حملات به وب سایت استفاده شوند.

هکر سعی می کند با فایل xmlprc.php با ترکیب های مختلف نام کاربری و رمز عبور به وب سایت شما دسترسی پیدا کند. آنها می توانند از یک دستور واحد برای آزمایش صدها گذرواژه مختلف استفاده کنند. بنابراین ، این اجازه را به آنها می دهد تا قوانین امنیتی را زیر پا بگذارند و باعث حمله نیروی وحشیانه شود.

ریسک دیگر این است که وب سایت را از طریق حمله DDoS آفلاین کند. از ویژگی pingback در وردپرس توسط هکرها برای ارسال همزمان pingbacks به هزاران وب سایت استفاده می شود. بنابراین ، این ویژگی در xmlrpc.php از هکرها با منبع بی پایان آدرس IP برای توزیع حمله DDoS پشتیبانی می کند.

مراحل غیرفعال کردن فایل XML-RPC در cPanel:

1-نصب افزونه امنیتیiThemes Security مطابق با همین آموزش که در این لینک موجود است.

2-از طرق آموزش زیر:

اگر XML-RPC در وب سایت شما اجرا می شود ، می توانید آن را از طریق ابزاری به نام اعتبارسنج XML-RPC بررسی کنید. این XML-RPC را می توان در وب سایت های وردپرس با کمک افزونه ها یا به صورت دستی از طریق File Manager در cPanel غیرفعال کرد. اجازه دهید مراحل زیر را برای غیرفعال کردن فایل XML-PRC در cPanel دنبال کنیم.

مرحله 1: با نام کاربری و رمز عبور معتبر وارد cPanel خود شوید.

آموزش ورود به سی پنل – آموزش خروج از سی پنل

مرحله 2: به مدیریت فایل بروید و به پوشه اصلی بروید. سپس به پوشه ‘public_html’ دسترسی پیدا کنید.

آموزش کار با فایل منیجر سی پنل File Manager

مرحله 3: فایل .htaccess را در فهرست public_html پیدا کنید یا یک فایل .htaccess جدید ایجاد کنید. در صورتی که فایل را مشاهده نمی کنید ، یک فایل مخفی است و باید از طریق آموزش زیر نمایش فایل های مخفی را فعال کنید

نمایش فایل های مخفی و htaccess در cpanel

مرحله 4: هنگامی که فایل .htaccess را پیدا کردید ، روی آن راست کلیک کرده و دکمه ویرایش را انتخاب کنید.

مرحله 5: پس از کلیک روی دکمه ، می توانید پنجره جدیدی را مشاهده کنید که به شما امکان می دهد رمزگذاری را غیرفعال کنید. سپس بر روی دکمه ویرایش کلیک کنید ، یک برگه جدید در مرورگر ظاهر می شود.

مرحله 6: کد زیر را در فایل .htaccess کپی و جایگذاری کنید.

# Block XML-RPC
<Files xmlrpc.php>
order deny,allow
deny from all
allow from // IP
</Files>

اکنون فایل xmlrpc.php در وب سایت شما به طور کامل غیرفعال می شود. این باعث امنیت وب سایت شما می شود و تهدیدات امنیتی را در وب سایت شما کاهش می دهد.
در صورت تمایل میتوانید در جایی که // IP نوشته شده ای پی که میخواهید برای دیدن این فایل مجاز باشد قرار دهید