Vô hiệu WordPress Xmlrpc.php thủ công

Mở file .htaccess. Bạn có thể dùng tính năng ‘show hidden files’ trong file manager hoặc FTP client để thấy file này.

Bên trong file .htaccess, dán đoạn code sau vào:

  1. # Block WordPress xmlrpc.php requests

  2. <Files xmlrpc.php>

  3. order deny,allow

  4. deny from all

  5. allow from 123.123.123.123

  6. </Files>

Lời kết

Tóm lại, XML-RPC là một giải pháp cho việc xuất bản từ xa cho WordPress. Tuy nhiên, giải pháp này đi kèm với việc đánh đổi tính an toàn của WordPress site và thậm chí gây tổn hại nghiêm trọng không thể phục hồi cho các site WordPress đó.

Để đảm bảo site của bạn an toàn, hãy cứ vô hiệu xmlrpc.php hoàn toàn. Trừ khi bạn cần vài chức năng liên quan đến việc xuất bản từ xa, hoặc cho plugin Jetpack, thì hãy dùng plugin quản lý việc này, lấp hỗ hổng bảo mật nhưng vẫn duy trì tính năng này.

Thời gian tới, chúng ta sẽ thấy là chức năng của XML-RPC sẽ tự được tích hợp vào WordPress API mới, sẽ cho phép truy cập từ xa dễ dàng hơn nhưng vẫn đảm bảo việc bảo mật wordpress. Nhưng trước khi tới lúc đó, hãy cứ bảo vệ bạn trước khỏi vấn đề của xmlrpc. Vì thực sự, lúc này bạn đã có thể truy xuất WordPress bất kỳ lúc nào từ bất kỳ thiết bị nào vào dashboard không cần thông qua xmlrpc.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *