تبلیغات تبلیغات
حراجی دامنه های ویژهمشاهده
آخرین ارسال های تالار مشاهده انجمن
افزونه Coins MarketCap 1 پاسخ 202 بازدید درخواست پلاگین 4 پاسخ 442 بازدید اسکریپت vfm 5 پاسخ 557 بازدید تغییر جهت محتوا در وردپرس 1 پاسخ 226 بازدید افزونه ساخت شماره مجازی 14 پاسخ 1086 بازدید درخواست افزونه 1 پاسخ 422 بازدید بهترین رباط اینستاگرام 0 پاسخ 2 بازدید درخواست قالب با سبک کندو 1 پاسخ 692 بازدید به هم ریختگی سایت بعد از نصب قالب 2 پاسخ 651 بازدید نمایش کد های php 0 پاسخ 413 بازدید
تبلیغات
تبلیغات تبلیغات

چگونه وردپرس را در مقابل حملات XML-RPC محافظت کنیم

وردپرس , مقالات,آموزش,ترفند

از حملات شایع در وردپرس، حملات XML-RPC هستند. xmlrpc.php فایلی هست که در پوشه اصلی سایت‌های وردپرسی قرار دارد و می‌توانیم با جلوگیری از دسترسی به XML-RPC سایت خود را تا حد زیادی امن‌تر کنیم.

 

چگونه وردپرس را در مقابل حملات XML RPC محافظت کنیم

 

وردپرس بهترین سیستم مدیریت محتوای دنیاست. در این قضیه شکی نیست. اما وقتی صحبت از امنیت می‌شود بسیاری از دوستان ظاهراً متخصص، قصد دارند برای فروش سیستم‌های مدیریت محتوای اختصاصی خودشان وردپرس را غیر امن توصیف کنند. اما همان‌طور که در دوره آموزش امنیت وردپرس توضیح دادم، امنیت امری نسبی هست و کاملاً بستگی به شرایط و تنظیمات‌هاست و سرور شما دارد.

 

مثلاً اگر روزی یک نفری وارد دیتاسنتر شد و هارد سرور شمارا دزدید این قضیه دیگر مربوط به امنیت وردپرس نیست! بلکه امنیت دیتاسنتر شما هست که باید بازبینی شود.

 

XML-RPC چیست

از همه این‌ها که بگذریم. وردپرس یک پروتکل دسترسی به نام xml-rpc دارد که معمولا برای دسترسی به توابع سایت شما استفاده می‌شود. یعنی سایت‌های دیگر می‌توانند با این سرویس، شروع به اجرای توابع قالب‌ها و افزونه‌های سایت شما شوند.

چگونه وردپرس را در مقابل حملات XML RPC محافظت کنیم

بسیاری از ما از این پروتکل استفاده نمی‌کنیم. پس برای جلوگیری از حملات احتمالی بهتر است این بخش را مسدود کنیم. در کل زمانی که یک هکر قصد هک کردن سایت شما با استفاده از XML-RPC را دارد، از دو روش عمل می‌کند:

  • خواندن اطلاعات دقیق خطا زمانی که سایت شما خطای دیتابیس دارد.
  • خواندن اطلاعات زیادی از جمله POST /xmlrpc.php HTTP/1.0 در لاگ وب سرور شما

جلوگیری از دسترسی به XML-RPC

قبلا غیرفعال کردن xml-rpc با افزونه را توضیح داده‌ایم. اما می‌خواهیم افزونه‌های زیادی روی سایت‌مان نصب نکنیم. پس به سراغ فایل htaccess می‌رویم. برای غیر فعال کردن XML RPC در وردپرس کافیست وارد فایل منیجر هاست خود شوید. سپس فایل .htaccess را ویرایش کنید. این فایل در مسیر اصلی public_html سایت شما قرار دارد.

بعد از باز کردن این فایل. در خط اول این کد را قرار دهید:

<files xmlrpc.php>
   order allow,deny
   deny from all
</files>

به همین راحتی! دسترسی به فایل xmlrpc.php مسدود شد و حالا هکر گرامی دسترسی به این فایل نخواهد داشت.

اگر از NGINX استفاده می‌کنید

بسیاری از شما از وب سرور NGINX استفاده می‌کنید. اگر اینطور هست به شما تبریک می‌گوییم چون حتما یک سرور اختصاصی یا نیمه اختصاصی برای سایت خود دارید. اگر از NGINX استفاده می‌کنید، باید در فایل /etc/nginx/nginx.conf این کدها را در بخش server{} قرار دهید.

location = /ahura/xmlrpc.php {
   deny all;
   access_log off;
   log_not_found off;
   return 403;
}

به همین راحتی! دسترسی به فایل xmlrpc.php روی سرور انجین ایکس شما مسدود شد.

چگونه مطمئن شویم xmlrpc.php مسدود هست

خیلی راحت! کافیست آدرس 20script.ir/xmlrpc.php را در مرورگر خود باز کنید. اگر خطای ۴۰۳ یا ۴۰۴ دریافت کردید یعنی xmlrpc.php روی سایت ما مسدود هست. حالا همین کار را با وارد کردن دامنه خود به جای 20script.ir تست کنید. اگر روی سایت شما هم مسدود بود پس کار درست را انجام داده‌اید. 🙂

موفق و پیروز باشید.

این مقاله چقدر براتون مفید بود؟

از ۱ تا ۵ امتیاز بدید.

میانگین رتبه 0 / 5. تعداد رای : 0

تا حالا کسی رای نداده! اولین نفر شما باشید.

دانلود

هاست ارزان، لایت اسپید، سرور مجازی منطبق با اسکریپت های 20script کلیک کنید >
مطلب مفیدی بود ؟
نویسنده : تیم محتوای 20اسکریپت 0 وردپرس , مقالات,آموزش,ترفند
لینک کوتاه مطلب : https://www.20script.ir/?p=52710
کلمات کلیدی پست :
مطالب مرتبط
8,450نمایش مطالب خوانده نشده در وردپرس با افزونه Unread Posts تاریخ : 2017/07/2
12,076قالب آشپزی سایت چی بپزم؟ برای وردپرس تاریخ : 2014/04/27
6,489دانلود قالب وردپرس حرفه ای Yaminth تاریخ : 2013/11/18
10,544غیر فعال کردن افزونه های وردپرس در PhpMyAdmin تاریخ : 2018/04/27
8,275افزونه مخفی کردن محتوای وردپرس Hide My Site تاریخ : 2017/06/14
10,260ورود و عضویت موقت بدون رمز عبور در وردپرس با Temporary Login Without Password تاریخ : 2017/07/24
9,524افزونه معرفی اعضای تیم TeamPress برای وردپرس تاریخ : 2019/04/16
3,692بازیابی آخرین تغییرات نوشته در وردپرس تاریخ : 2019/05/11
18,229افزونه اشتراک گذاری مطالب در واتس آپ برای وردپرس تاریخ : 2015/05/4
5,568آموزش راه اندازی سایت وردپرسی با هاست سی پنل تاریخ : 2018/09/8
3,672آموزش ویرایش قالب وردپرس تاریخ : 2019/10/24
25,598افزونه جدول قیمت وردپرس Go Pricing فارسی نسخه 3.3.17 تاریخ : 2020/03/6
برخی از قالب های وبلاگ - بیست اسکریپت
قالب عشق بین انگشت هاقالب عشق بین انگشت ها
قالب دخترونه و آرایشقالب دخترونه و آرایش
قالب زیبای ماشینقالب زیبای ماشین
قالب فانتزی و طنز چِشمقالب فانتزی و طنز چِشم
قالب دختر رویاییقالب دختر رویایی
قالب وبلاگ دکوراسیونقالب وبلاگ دکوراسیون
قالب وبلاگ کلبه و درختقالب وبلاگ کلبه و درخت
قالب دختر زیباقالب دختر زیبا
قالب پسرونه غمگینقالب پسرونه غمگین
قالب عاشقانه قلبقالب عاشقانه قلب
تبلیغات
تبلیغات