Hướng dẫn vô hiệu hóa XML-RPC trên WordPress

878

XML-RPC là gì?

XML-RPC là sử dụng giao thức WebService (soap) dùng XML để mã hóa và trao đổi dữ liệu (Remote Procedure Call XML) và có thể hỗ trợ các API của các CMS như WordPress API, Blogger API, ..Tính năng XML-RPC đã được bật mặc định trên WordPress kể từ phiên bản WordPress 3.5, và lý do chính cho việc này là cho phép ứng dụng di động WordPress giao tiếp với website WordPress của bạn.

Vậy tại sao nên tắt XML-RPC?

Nhìn chung, XML-RPC có nhiều nhược điểm hơn là ưu điểm, việc bật XML-RPC có thể dẫn đến tiếp xúc các lỗ hổng bên trong website WordPress của bạn, và từ đó có thể trở thành mục tiêu tấn công của hacker thông qua một số kiểu tấn công cơ bản như DDoS sử dụng pingback XML-RPC , Brute force sử dụng XML-RPC. Do đó các bạn nên tắt XML-RPC để tăng tính bảo mật cho website của mình. Mặc định XML-RPC ở Hosting AZDIGI sẽ tắt sẵn XML-RPC, tuy nhiên có một số nhà cung cấp sẽ không tắt tính năng này, nên các bạn cần tắt thủ công theo một số cách bên dưới.

Các cách tắt XML-RPC

Cách 1: Tắt XML-RPC qua Plugin

Để tắt XML-RPC trên website, các bạn chỉ cần cài đặt Plugin có hỗ trợ tắt XML-RPC là được, ở đây mình sẽ làm hướng dẫn với Plugin iThemes Security. Đây là một Plugin bảo mật trên Wordpress phổ biến và được nhiều người sử dụng nhất.

Cài đặt Plugin xong, các bạn active lên và truy cập theo: Security => Setting => Advanced => WORDPRESS TWEAKS. Tiếp đó bạn chọn tùy chỉnh mà mình cần như hình và nhấn Save.

• Disable XML-RPC: XML-RPC sẽ Tắt, tùy chọn này được khuyến cáo sử dụng. Nếu sử dụng Jetpack, các ứng dụng WordPress Mobile, Pingback và các dịch vụ khác sử dụng XML-RPC sẽ không hoạt động.
• Disable Pingbacks: Chỉ tắt Pingback. Các tính năng XML-RPC vẫn hoạt động bình thường. Tùy chọn này cho phép các tính năng của Jetpack hoặc ứng dụng WordPress Mobile hoạt động.
• Enable XML-RPC: XML-RPC sẽ Bật. Chỉ sử dụng tùy chọn này nếu website buộc phải sử dụng XML-RPC.

Cách 2: Tắt XML-RPC qua .htaccess

Để tắt XML-RPC qua file .htaccess, các bạn cần truy cập vào Host/VPS chứa website của các bạn, tiếp đó bạn truy cập vào thư mục gốc (Document root) của website, và chọn chỉnh sửa File .htaccess như hình.

Tiếp đó bạn cần chèn thêm đoạn bên dưới vào

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

Cấu trúc khi chèn vào sẽ như hình, các bạn nhấn Save để áp dụng cấu hình.

Kiểm tra thành quả

Sau khi đã cấu hình xong theo cách 1 hoặc 2 thì bạn có thể truy cập kiểm tra nhanh xem XML-RPC trên website đã được tắt thành công chưa bằng cách truy cập theo cú pháp: https://tenwebsite.com/xmlrpc.php , và kết quả các bạn có thể phân biệt theo hình bên dưới

Trên đây là một số cách tắt XML-RPC trên website Wordpress mà các bạn có thể tham khảo và làm theo. Hy vọng bài viết sẽ giúp ích cho các bạn, để tăng cường tính bảo mật cho website của mình.