Отключаем XML-RPC для защиты WordPress сайта от DDoS атак

Отключить xmlrpc на WP

Мало кто знает, но в WordPress по умолчанию включена технология XML-RPC, с помощью неё можно удаленно не находясь за рабочим ПК, управлять сайтом, добавлять записи, удалять или редактировать комментарии, медиафайлы и т.д.

С одной стороны это удобно и кому-то жизненно необходимо, но большинству этот функционал не нужен. Я уверен что 98% пользователей сборки wordpress ни разу не пользовались удаленной публикацией и я отношусь к их числу. Однако даже не используя эту технологию можно хорошо пострадать от неё, ведь её используют для Ddos атаки на сайты…

Практически каждый год сайты на любимой WP попадают под массовые атаки, ddos и брут. Так прошлым летом хостинги сами закрывали доступ к админам и XML-RPC. А мы давайте не будем ждать проблем которые могут прийти в любую минуту, а поставим защиту прямо сейчас.

Если в лог файле видели много таким запросов:

Пора бить тревогу!!

Отключаем xmlrpc через тему

Заходим в папку с шаблоном и открываем файл functions.php и в любое место добавляем строку отключения:

Метод прост и быстр, однако для любителей менять темы каждую неделю это не вариант. Человеческий фактор легко поможет забыть перенести эту строку в новую тему.

Если вы один из таких людей, то ловите второй способ.

Запрещаем всем доступ к Xml-RPC в WP

Открываем файл .htaccess в главной директории (там где лежит wp-config.php) и добавляем код:

Вот и все! Если есть вопросы задавайте их в комментариях.

Добавить комментарий