CMS WordPress существует уже далеко не первый год. Этим обусловлено наличие множества функций, которые уже практически не используются сегодня. Одна из таких – xmlrpc, созданная для легкого управления с разных устройств. Разбираемся, как ее убрать.
Xmlrpc.php – что это и зачем нужно в WordPress
В период своего появления (2003 год), дырой это не было. Первоначально xmlrpc был создан для упрощенного администрирования ресурса с телефонов и компьютеров.
На момент создания, стабильный выход в интернет имели далеко не все пользователи, поэтому чтобы уменьшить нагрузку на интернет разработчики создали специальный алгоритм, через который данные в сжатом виде передавались через xml протокол в операционную систему (Windows, MacOS и пр.). С помощью этого вебмастера легче могли управлять сайтами.
Почему необходимо удалить xmlrpc из WordPress?
В первую очередь это бесполезный код в теге <head>, который увеличивает размер страницы, снижая скорость ее загрузки. Вы сами наглядно сможете его увидеть, нажав Ctrl + U на любой странице блога:
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="https://site.ru/xmlrpc.php?rsd" />
Помимо увеличения веса, у этой уязвимости есть ряд крупных минусов:
- Упрощается процедура проведения прямых DDoS и DoS атак на сервер (приложение) по HTTP протоколу.
- Злоумышленник сможет получить дистанционный доступ к административной панеле, всего лишь угадав API ключ.
Отключаем rsd в WordPress
RSD ссылка – один из атрибутов HTML-тега <html>, отвечающий за подключение сторонних файлов, располагающихся на сервере. В частности она отвечает и за прилинковку xmlrpc.
Удаляется она либо через готовые плагины, либо посредством вставки системной функции.
С помощью Clearfy PRO
В первую очередь этот WordPress плагин известен функциями, направленными на очистку тега <head>. В рамках чистки кода, клиарфай также отключает xmlrpc.
Чтобы найти этот чекбокс перейдите в раздел “код”, находящийся в настройках утилиты (левое боковое меню админки).
Clearfy
Используя Remove WP OH
Главное отличие от Clearfy: в этом модуле нет поддержки русского языка. В остальном (за исключением отсутствия ряда функций) выполняет схожие задачи именно по очищению head, формируемого ВордПрессом.
Чтобы активировать работу модуля – зайдите в конфигурацию утилиты и переведите флаг “Disable XML-RPC Methods” в положение “Enabled” (по умолчанию выключено).
СкачатьЧерез системную команду
В отличие от предыдущих способов, этот требует малейшего знания языка программирования PHP, потому что в случае каких-либо неполадок необходимо будет либо отредактировать код, либо его удалить.
Чтобы воспользоваться этим методом перейдите через редактор тем WordPress, панель управления сервером или FTP подключение в файл functions.php.
Теперь от предыдущей записи отступите несколько строчек (2 – 3) и вставьте следующий фрагмент:
remove_action( 'wp_head', 'rsd_link' );
После вставки внимательно проверьте работоспособность сайта. На разных страницах могут появиться ошибки в верстке или перестанет работать ряд опций. Если все хорошо и новых уведомлений не появляется – можно оставить без изменений.
После использования любого метода перейдите в программную часть страницы (Ctrl + U) и проверьте наличие rsd ссылки.
В рамках этой статьи отвечу и на вопрос “Как включить после изменений?”. Для этого удалите вставленный код или отключите в плагине/само дополнение.