Хmlrpc это инструмент для удаленного управления сайтом на WordPress.
В современных версиях Wordpress xmlrpc по-умолчанию включен и доступен по ссылке sitename/xmlrpc.php
Чем это опасно
Перебирая пароли через sitename/wp-admin злоумышленник может отправлять за один раз только одну пару "логин-пароль". Перебирая пароли через xmlrpc можно отправлять за один HTTP запрос тысячи пар "логин-пароль".
Это позволит подобрать пароль к сайту существенно быстрее. Кроме этого, подбор пароля через xmlrpc обычно не выглядит подозрительно для систем защиты от атак, которые часто ориентируются на количество запросов к сайту.
Также злоумышленник может использовать ваш сайт для анализа других сайтов при помощи метода pingback.ping.
Как проверить включен ли на моем сайте xmlrpc
Если вы используете Wordpress версии 3.5 и старше и специально не отключали xmlrpc, то с большой долей вероятности он включен на вашем сайте.
Проверить включен ли на вашем сайте xmlrpc можно на сайте xmlrpc.eritreo.it.
Если xmlrpc включен, то после проверки появится надпись
Congratulation! Your site passed the first check.
Как отключить xmlrpc на wordpress
1. Откройте панель управления сайтом. Она доступна по адресу http://sitename/wp-admin, где sitename - доменное имя вашего сайта.
2. В административной панели выберите раздел "Плагины", далее "Добавить новый".
3. В строке поиска наберите название плагина Disable xmlrpc и нажмите клавишу enter.
Далее нажмите "Установить" рядом с названием плагина Disable xmlrpc:
4. Через несколько секунд на месте кнопки "Установить" появится кнопка "Активировать". Кликните на нее.
Теперь xmlrpc отключен. Готово!
P.S. В некоторых источниках написано, что xmlrpc это php уязвимость Wordpress. Как мы показали в этой статье, это не так. И теперь вы знаете, как отключить xmlrpc php в wordpress.
Больше полезной информации на netangels.pro
Выделенные сервера и хостинг NetAngels.ru
