XMLRPC.php çeşitli harici uygulamalar ve WordPress arasında uzaktan bağlantı sağlamak için kullanışlıdır. Ancak, bu özelliği htaccess ve nginx sunucuda devre dışı bırakmak sitenizin güvenliğini artırmanıza yardımcı olacaktır.
Xmlrpc.php nedir?
XMLRPC, verilerin iletilmesini sağlayan WordPress’te bulunan bir özelliktir. Aktarım mekanizması olarak HTTP ve kodlama mekanizması olarak XML kullanır. Basitçe söylemek gerekirse, xmlrpc.php web sitenize bir tarayıcı yerine özel yönetici yazılımlarından ve mobil uygulamalardan erişmenizi sağlar.
Xmlrpc.php Nasıl Kullanılır?
WordPress sitenizi güncellemek için uzak teknolojileri ve mobil uygulamaları kullanmadığınız sürece, XML-RPC’ye aşina olmayabilirsiniz. Deneyimsiz kullanıcılar için xmlrpc.php komutunu kullanarak WordPress’e uzaktan bağlantı kurabilir ve WordPress sisteminize doğrudan giriş yapmadan sitenizde güncelleme yapabilirsiniz.
On yıl önce, WordPress 3.0’dan önce, XML-RPC’yi doğrudan gösterge tablosunda açma veya kapatma seçeneği vardı. Ancak, WordPress kendi iPhone uygulamasını yayınladığında, bu seçenek kaldırıldı. Şimdi, WordPress’i indirdiğinizde XML-RPC otomatik olarak etkinleştirilir. Ancak yine de kendiniz devre dışı bırakmak isteyebilirsiniz.
Neden xmlrpc.php’yi Devre Dışı Bırakmalısınız?
Sorun xmlrpc.php bir güvenlik riski oluşturuyor olmasıdır. Sitenize harici saldırılara karşı savunmasız bırakabilecek ek bir erişim noktası oluşturur. XML-RPC’yi her doğruladığınızda, kullanıcı adınızı ve şifrenizi girmeniz gerekir. Tahmin edebileceğiniz gibi, bu güvenlik için tam olarak ideal değildir. Örneğin, brute force saldırılarını önlemek için WordPress sitenizdeki giriş denemelerini sınırlandırabilirsiniz. Ancak, XML-RPC etkinken, bu sınır yoktur. Giriş denemelerinde sınırlama yoktur, yani belirli bir siber suçluların erişmesi sadece bir zaman meselesidir.
Özelliği devre dışı bırakarak, bilgisayar korsanları için potansiyel bir giriş alanını kapatırsınız. Elbette XML-RPC olmadan uzaktan erişim mümkün değildir. Yayınlama ve güncelleme amacıyla doğrudan WordPress’e giriş yapmanız gerekir. Bu nedenle, mobil uygulamalar ve uzak yazılım site güncellemeleri için güvendiğiniz yöntemse, bu özelliği kapatmak pratik bir seçenek olmayabilir.
Ancak, güvenlik en önemli önceliğinizse, bu dikkate almak istediğiniz bir adım olabilir. Ayrıca, uzaktan bağlantılar günlük olarak uğraştığınız bir şey değilse, büyük olasılıkla özelliği bittiğinde kaçırmayacaksınız. Bu durumda kaybedecek bir şeyiniz yok ve sadece ek bir güvenlik katmanı kazanacaksınız. Aşağıda tartışacağımız gibi, xmlrpc.php’yi devre dışı bırakmak için kullanabileceğiniz farklı yöntemler vardır. Bununla birlikte, bu özelliğin devre dışı bırakılmasının kalıcı olması gerekmediğini unutmayın. Özelliği tekrar açmanız gerekirse, işlemi tersine çevirerek kolayca yapabilirsiniz.
Disable XML-RPC Eklentisini indirin
İlk adım Disable XML-RPC eklentisini indirmektir. 100.000’den fazla etkin kurulumla, WordPress’e uzaktan erişimi engellemek için kullanabileceğiniz yüksek puan alan bir araçtır. Çoğu eklentide olduğu gibi, WordPress Eklenti Dizini’nde arama yaparak bunu hızlı bir şekilde bulabilirsiniz:
Eklentiler> Yeni Ekle’ye gidip Disable XML-RPC seçeneğini arayarak WordPress kontrol panelinize de indirebilirsiniz.
Htaccess Dosyanıza Kod Ekleme
İlk olarak, sitenizin kök klasöründeki .htaccess dosyanızı bulun ve açın. Dosyayı hazırladıktan sonra aşağıdaki kodu ekleyin:
#WordPress xmlrpc.php <Files xmlrpc.php> order deny,allow deny from all </Files>
Yukarıdaki kod, WordPress sitenizde xmlrpc.php dosyasını başarıyla devre dışı bırakmak için gerekli olan tek şeydir. Ancak, özelliğin doğru yapılandırıldığını doğrulamak zarar vermez.
Bunu yapmak için WordPress XML-RPC doğrulayıcısı gibi bir araç kullanabilirsiniz. Ancak websiteniz her ne kadar doğrulamadan geçmiş olsada, siz yinede alanadiniz.com/xmlrpc.php yazarak tarayıcıda kendiniz kontrol ediniz. Çıkan sonuç: (XML-RPC server accepts POST requests only.) Böyle ise xmlrpc açığınız var demektir. Eğer kapalı olsaydı: HTTP/1.1 403 Forbidden uyarısı verirdi…
NGINX Sunucuda XML-RPC Devre Dışı Bırakma
Xmlrpc.php komut dosyasına veri göndererek ve çok kısa aralıklarla yaparak bir hizmet reddi (DOS) saldırısı olarak kullanılıyor. Bu aslında PHP’ye ve CPU’ya aşırı yük oluşturarak web sitesini erişilemez hale getiriyor. Bu, sunucu bloğunun içindeki aşağıdaki konum bloğu kullanılarak NGINX aracılığıyla azaltılabilir:
location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
return 444;
}
444 yanıtı NGINX’e özgüdür. 444 durumu, NGINX’in herhangi bir yanıt göndermeden bağlantıyı kapatmasına neden olur. Bu, HTTP isteğini hiç işlemeyeceğinden sunucunuzun işlem gücünden tasarruf sağlayacaktır. Bunun xmlrpc.php dosyasına dayanan WordPress eklentilerinin tamamen başarısız olmasına neden olacağını unutmayın, lütfen dikkatli kullanın.
“Eğer Plesk kullanıyorsanız bu işlem gerçekten çok basittir. Kontrol panelinizden Alan adınızın Apache ve nginx Ayarlarına girin, Ek nginx direktifleri bölümüne aşağıdaki kodu girin ve Uygula butonuna basın.”