چطور جلوی حمله به XML-RPC وردپرس را بگیریم؟

بسته دسترسی xmlrpc از طریق تنظیمات اصلی وب سرور

این هم تقریباً به مانند روش قبلی است. با این تفاوت که مسدودسازی در سطح تنظیمات اصلی وب سرور انجام می‌گیرد. یعنی در بلاک virtualhost در سند پیکربندی آپاچی.

<VirtualHost> 

<files xmlrpc.php> 
order allow,deny 
deny from all 
</files> 
</VirtualHost>

اما برای وب‌سرور Nginx باید از کد زیر استفاده کرد.

server { 

location /xmlrpc.php { 
deny all; 
} 
}

بعد از انجام این تنظیمات لازم است وب‌سرور یک بار restart شود. دقت کنید که در سرورهایی که از کنترل پنل مثل سی پنل یا دایرکت ادمین استفاده می‌شود، باید حتماً طبق مستندات خود این کنترل پنل‌ها اقدام به ویرایش سند اصلی تنظیمات وب‌سرور کرد. چرا که اگر به صورت دستی ویرایش شوند، بعد از هر بار راه اندازی مجدد، تغییرات شما از بین خواهند رفت.

نصب افزونه Jetpack

اما روش سوم برای جلوگیری از حمله به XML-RPC این است که از افزونهٔ Jetpack روی وردپرس استفاده کنیم. راجع به این افزونه درون سایت آموزش بسیار است. این افزونه یک بسته افزونه محسوب می‌شود که امکانات مفیدی را به سایت اضافه می‌کند. از جمله امکانات امنیتی، که یکی از آنها این است که جلوی درخواست‌های اضافی به XML-RPC وردپرس را می‌گیرد. تنظیمات خیلی ساده‌ای هم دارد که در بیشتر مواقع با نصب و فعال سازی این افزونه حتی دیگر نیازی به انجام کار خاصی نخواهید داشت.

یک آموزش جذاب دیگه!  اجبار به دانلود یک فایل یا تصویر با کلیک روی لینک

بررسی برای کاهش حمله

اگر یکی از کارهایی که در بالا گفته شده را انجام دادید، بعد از مدت زمانی که گذشت، بد نیست بررسی کنید که ببینید آیا حمله‌ها کاهش پیدا کرده یا خیر. برای این منظور به همان اسناد گزارش دسترسی‌های سایت مراجعه کنید و ببینید که آیا خط زیر درون این اسناد وجود دارد یا خیر.

“POST /xmlrpc.php HTTP/1.1” ۴۰۳ ۲۹۱ “-”۶۷۴ “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”

تمایز این خط با خطی که در کمی بالاتر از این صفحه به آن اشاره شد این است که؛ به جای کد ۲۰۰ می‌بینیم که حد ۴۰۳ به معنای عدم اجازه برای دسترسی ثبت شده. یعنی جلوی این دسترسی گرفته شده. اما کد ۲۰۰ یعنی با موفقیت توانسته این صفحه را باز کند که در موارد قبلی حتماً این گونه بوده است.

به هر حال این آموزش جلوگیری از حمله XML-RPC وردپرس بود که هر مدیر وردپرسی ای باید از آن مطلع بوده باشد. وردپرس به دلیل کاربریِ بسیار زیادی که دارد، هکرها را جذب خود می‌کند. هکرهایی که حتی با داشتن هزاران آی پی، ممکن است حمله‌ای را روی سایت شما ترتیب دهند که در نهایت یا باعث هک شدن رمز عبور سایت می‌شود. یا اینکه در بهترین حالت، باعث کاهش سرعت سایت شما خواهند شد. کاهش سرعتی که برای سایت‌های رتبه بالا، یا سایت‌هایی که بازدید بالایی دارند، بسیار گران تمام خواهد شد! پس حتماً به این مهم دقت کافی را داشته باشید. اگر از XML-RPC استفاده نمی‌کنید، در بهترین حالت این است که آن را غیرفعال نمایید.

یک آموزش جذاب دیگه!  htaccess برای وردپرس

اگر سرور هاست دست خودتان باشد، کارهای بیشتری می‌توانید انجام دهید. از جمله پیکربندی بهتر فایروال سرور. اگر هم دست شما نیست، از طریق روش‌های اول و سوم جلوگیری از حمله XML-RPC به وردپرس حتماً سایت خود را تا حد زیادی ایمن نمایید.

صفحه: 1 2
۱۳۹۸/۰۷/۲۱

امنیت وردپرس
بدون دیدگاه
، ،
تلگرام فیسبوک توییتر ایمیل

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آموزش جامع وردپرس

آموزش نصب وردپرس روی لوکال هاست

آموزش افزونه Yoast SEO

درباره ®WPTutorial

WPTutorial یکی از منابع آموزشی جامع و رایگان وردپرس می باشد، که هدف اصلی خودش را به اشتراک گذاری تجربه های وردپرسی و افزایش دانش وبمسترهای فارسی زبان قرار داده است. بر همین اساس هر روزه سعی در انتشار آموزش ها، ترفندها و هک های وردپرس می کند، تا شما بتوانید سایت تان را هر روز بهبود ببخشید.