xmlrpc.php Devre Dışı Bırakılmalı mı?
xmlrpc.php bazı harici uygulamalar ile WordPress siteniz arasında uzak bağlantıları çalıştırır. Başka bir deyişle, WordPress’te bulunan verilerin iletilmesini sağlar. Aktarım mekanizması olarak HTTP bağlantısını, kodlama meknanizması olarak ise XML’yi kullanır.
En basit olarak örnek vermek gerekirse, xmlrpc.php WordPress sitenizde uzak bağlantı kurarak yazı ekleyebilmeyi, WordPress sitesini güncellemeyi veya mobil uygulamalardan (WordPress Android/IOS Uygulaması) erişimeyi sağlar. Ayrıca, trackback ve pingback işlemleri de gerçekleştirir.
Neden xmlrpc.php Dosyası Tehlikeli ve Devre Dışı Bırakılmalıdır?
Bu php dosyası, trackback ve pingback özelliklerinden dolayı sitenizi DDoS saldırılarına karşı savunmasız bırakabilecek bir ek erişim noktası oluşturur. Örneğin, Brute Force saldırılarını önlemek için wp-login’e bir sınır koyabilirsiniz. Ancak, xmlrpc.php etkin ise bu sınırın bir anlamı kalmaz, xmlrpc açığı sayesinde saldırgan sınırsız bir giriş denemesine sahip olur. Ayrıca saldırganlar, xmlrpc.php dosyasına Python kullanarak; istek atma yönetimi ile WordPress websitenize index atabilirler. Eğer nulled tema kullanıyorsanız bu işlem onlar için zor olmayacaktır.
Bu dosyayı devre dışı bırakarak, saldırganların bir kozunu ellerinden almış olursunuz. Ancak, hatırlatmakta fayda var ki, xmlrpc.php olmadan uzaktan erişim mümkün değildir. Dolayısıyla, yazı yayınlamak, güncellemek vb. işlemler için WordPress sitenize doğrudan giriş yapmanız gerekir. Eğer websitenizi güvenli hale getirmek istiyorsanız XML-RPC özelliğini devre dışı bırakmanız çok iyi olacaktır.
WordPress Sitesinde Aktif Olduğu Nasıl Anlaşılır?
Kabaca, web tarayıcınızda siteadı.com/xmlrpc.php olarak girerseniz;
XML-RPC server accepts POST requests only.
Karşınıza bu yazı çıkıyorsa xmlrpc.php aktiftir demektir.
Nasıl Devre Dışı Bırakılır?
Bu dosyayı devre dışı bırakmak için eklentilerde kullanabilirsiniz. Ancak benim tavsiyem .htaccess dosyanız ile bu dosyaya erişim engeli (403) vermeniz olacaktır.
FileZilla aracılığıyla websitenizin dizinine bağlanın, “.htaccess” dosyasını bilgisayarınıza indirin. Ardından not defteri ile .htaccess dosyanızı açarak, aşağıdaki kodu ekleyin;
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Kodu ekledikten sonra dosyayı kaydedip, sitenizin dizinine geri yükleyin. Ayrıca, buraya tıklayarak websitenizde XML-RPC’yi kontrol edebilirsiniz.
“Address” yazan kutucuğa websitenizi yazın ve ardından check butonuna tıklayın. 403 ya da erişilemez uyarıları alıyorsanız XML-RPC özelliği devre dışı bırakılmıştır demektir.