Как отключить XML-RPC в WordPress
XML-RPC — это протокол удалённого доступа, в котором используется транспортный механизм HTTP и шифровка сообщений с помощью XML.
Во времена, когда скорость интернета была невысокой, стандарт XML-RPC позволял работать с Wordpress в режиме офлайн. Администратор сайта редактировал записи или создавал новые через офлайн-клиент. После этого записи публиковались с помощью файла xmlrpc.php.
Сейчас скорость интернета позволяет добавлять и редактировать контент в Wordpress в режиме онлайн. Поэтому нет необходимости в использовании файла xmlrpc.php. Более того, в XML-RPC есть уязвимость, которую используют злоумышленники: через неё легче перехватить пароль от админки или организовать DDoS-атаку.
Мы рекомендуем отключать XML-RPC для сайтов на WordPress. Ниже расскажем, как проверить, включена ли эта функция в WP, и как её отключить.
Как проверить, включен ли XML-RPC
1. Перейдите в валидатор XML-RPC.
2. В поле “Address” укажите ваш домен. Затем кликните Check:
3. Если XML-RPC включен, на экране появится сообщение:
Congratulation! Your site passed the first check
Как отключить XML-RPC
Отключить XML-RPC можно двумя способами:
- с помощью плагина Disable XML-RPC,
- с помощью файла .htaccess. Об этом способе расскажем ниже.
Чтобы отключить XML-RPC вручную:
1. Перейдите в панель управления хостингом и откройте корневую папку.
2. Дважды кликните по файлу .htaccess. В конце добавьте строки:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Затем сохраните изменения.
Готово, вы отключили XML-RPC.