Có những tính năng cho phép bạn tương tác với trang web của mình từ xa trong những ngày đầu của WordPress. Chính những tính năng này đã tạo ra một cộng đồng bằng cách cho phép những người viết blog khác truy cập vào blog của bạn. Công cụ chính được sử dụng cho mục đích này là “XML-RPC”. Và trong những năm gần đây, tập tin này đã bị lạm dụng và trở thành một lỗ hổng bảo mật lớn. Dưới đây, chúng tôi sẽ giải thích Xmlrpc là gì và tại sao chúng ta nên tắt tệp này trong WordPress.
Xmlrpc là gì? Tại sao chúng ta nên tắt tệp xmlrpc trên WordPress?
Xmlrpc là gì?
Để giúp bạn hiểu rõ hơn về tệp Xmlrpc, chúng tôi xin giải thích ngắn gọn khái niệm này như sau. Xmlrpc là tính năng truyền dữ liệu của WordPress. Tệp này bao gồm HTTP làm công cụ truyền và XML làm công cụ mã hóa. Tính năng này được tạo ra để giúp WordPress giao tiếp với các hệ thống bên ngoài vì WordPress không phải là một hệ thống đóng hoàn toàn.
Chức năng chính mà xmlrpc.php kích hoạt là cho phép thiết lập giao tiếp giữa điện thoại và trang web của bạn, thiết lập trackback và pingbacks từ các trang khác và một số tính năng được liên kết với plugin Jetpac.
Xmlrpc quá khứ, hiện tại và tương lai
Xmlrpc ra đời trước khi WordPress được gọi là WordPress, khi đó đường truyền internet còn rất chậm, quá trình tạo và xuất bản bài viết còn rất khó khăn và mất thời gian. Mọi người thường phải viết bài ở đâu đó rồi copy và paste vào web chứ không viết bài trực tiếp trên trình duyệt. Giải pháp sau đó là tạo một ứng dụng khách viết blog ngoại tuyến, nơi bạn có thể viết nội dung, sau đó kết nối với blog của bạn để xuất bản nó. Kết nối này được thực hiện thông qua Xmlrpc.
Khi phiên bản WordPress 2.6 ra mắt vào năm 2008, có một tùy chọn để bạn bật hoặc tắt Xmlrpc. Tuy nhiên, sau khi có ứng dụng WordPress iPhone, Xmlrpc được bật theo mặc định và không thể tắt hoàn toàn trong cài đặt. Tình trạng này vẫn giữ nguyên cho đến ngày nay. Tuy nhiên, chức năng của các tệp này đã giảm đáng kể theo thời gian và kích thước của tệp đã giảm từ 83kb xuống 3kb.
Trong tương lai, với WordPress API mới, chúng ta có thể thấy Xmlrpc sẽ sớm bị loại bỏ hoàn toàn. Mặc dù API mới vẫn đang trong giai đoạn thử nghiệm và chỉ có thể được sử dụng khi kích hoạt plugin. Tuy nhiên, API mới sẽ được mã hóa trực tiếp vào lõi WordPress, để loại bỏ hoàn toàn tệp xmlrpc.php, vì nó hoàn toàn không cần thiết vào thời điểm này. API mới không phải là hoàn hảo, nhưng theo thời gian, nó sẽ trở nên mạnh mẽ hơn, an toàn hơn và giải quyết tất cả các vấn đề mà xmlrpc.php đang gặp phải.
>>> Xem thêm: Cách khắc phục lỗi 500 máy chủ nội bộ trong WordPress
Tại sao chúng ta nên tắt Xmlrpc trong WordPress?
Bảo mật là vấn đề lớn nhất của Xmlrpc. Chúng đến từ tệp xmlrpc.php được sử dụng như một phương pháp tấn công vũ phu vào chính trang web. Bạn cũng có thể tạo một mật khẩu rất mạnh bằng một plugin WordPress an toàn để bảo vệ mình, nhưng vô hiệu hóa nó hoàn toàn vẫn là cách tốt nhất.
Trước đây, xmlrpc có 2 điểm yếu là thường xuyên bị lạm dụng. Đầu tiên là sử dụng brute force attack để tấn công hoàn toàn website. Tin tặc có thể lợi dụng tệp xmlrpc.php để truy cập vào nhiều tổ hợp tên người dùng và mật khẩu của bạn đã biết. Họ chỉ cần một lệnh là có thể tự động chạy vài trăm mật khẩu khác nhau để cố gắng truy cập. Nó hoàn toàn bỏ qua các công cụ bảo mật vì những công cụ này không bảo vệ khỏi các cuộc tấn công xmlrpc.
Thứ hai là một cuộc tấn công DDoS vào trang web khiến nó bị sập. Tin tặc có thể sử dụng tính năng pingback trong WordPress để gửi pingback đến hàng nghìn trang web cùng một lúc. Xmlrpc.php mở đường cho tin tặc lây lan các cuộc tấn công DDoS bằng cách hỗ trợ số lượng địa chỉ IP gần như không giới hạn.
Các phương pháp giảm thiểu các cuộc tấn công thông qua Xmlrpc
Để kiểm tra xem XML-RPC có đang chạy hay không, bạn có thể sử dụng công cụ Trình xác thực XML-RPC để kiểm tra. Nếu trang web có thể hoạt động và nếu bạn thấy lỗi, trang web của bạn chưa bật XML-RPC. Ngược lại, nếu không thấy lỗi, bạn có thể vô hiệu hóa xmlrpc.php bằng một trong 3 cách dưới đây.
Tắt xmlrpc.php trên NGINX
Nếu bạn đang sử dụng NGINX làm chương trình phụ trợ của mình (được sử dụng với PHP-FPM) thì hãy đặt phần sau vào tệp cấu hình miền trên NGINX.
location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}
Sau đó khởi động lại NGINX.
service nginx restart
Tắt xmlrpc.php trên .htaccess
Nếu bạn dùng Lưu trữ chia sẻ hoặc các máy chủ có cài đặt Apache, hãy chèn phần sau vào tệp .htaccess trong thư mục gốc của trang web.
# DISABLE XML RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> # END
Vô hiệu hóa xmlrpc.php bằng Plugin
Vô hiệu hóa XML-RPC trong WordPress rất đơn giản.
Bạn chỉ cần đi đến Plugins Thêm mới trong bảng điều khiển WordPress. Tìm plugin Tắt XML-RPC và cài đặt plugin như bên dưới:
Xmlrpc là gì? Tại sao chúng ta nên tắt tệp xmlrpc trên WordPress?
Kích hoạt plugin này. Plugin sẽ tự động chạy mã cần thiết để vô hiệu hóa XML-RPC.
Tuy nhiên, có thể có nhiều plugin khác đang sử dụng một phần tử của XML-RPC, vì vậy việc tắt nó hoàn toàn có thể gây ra xung đột plugin và làm cho trang web không hoạt động.
Nếu bạn chỉ muốn vô hiệu hóa các phần của XML-RPC, nhưng vẫn cho phép các plugin và chức năng chạy, hãy cài đặt các plugin khác như bên dưới:
- Ngừng tấn công XML-RPC. Plugin này sẽ chặn mọi cuộc tấn công XML-RPC, nhưng nó vẫn cho phép các plugin như Jetpack và nhiều công cụ tự động khác truy cập vào tệp xmlrpc.php.
- Kiểm soát xuất bản XML-RPC. Cho phép kiểm soát và sử dụng công cụ xuất bản từ xa bằng xmlrpc.php
Sự kết luận
Trên đây chúng tôi đã chia sẻ cho các bạn biết Xmlrpc là gì, tại sao nên vô hiệu hóa nó cũng như các phương pháp vô hiệu hóa nó đơn giản mà hiệu quả. Mọi thắc mắc các bạn comment bên dưới để chúng ta cùng thảo luận nhé. Chúc may mắn!
