Tắt XML-RPC WordPress nhằm an toàn bảo mật WordPress

Đây là bài số 13 trong 13 bài tại series Bảo Mật WordPress

Tắt XML-RPC WordPress là phương pháp tăng cường Bảo Mật WordPress giúp website của bạn an toàn hơn. Lại Văn Đức Blog giới thiệu đến bạn một số cách để vô hiệu hoá XML-RPC trong WordPress. Mời các bạn cùng tham khảo bên dưới.

XML-RPC là một API WordPress cho phép người dùng kết nối với trang web WordPress bằng các ứng dụng, công cụ và dịch vụ của bên thứ ba.

Tắt XML-RPC WordPress dành cho ai ?

Chúng ta đã biết rằng XML-RPC là một API WordPress giúp bạn triển khai các ứng dụng mobile, đăng nhập và sử lý các công việc từ ứng dụng. Cùng với đó, có rất nhiều công cụ và dịch vụ khác sử dụng XML-RPC để kết nối với website.

Tắt XML-RPC WordPress nhằm an toàn bảo mật WordPress
Tắt XML-RPC WordPress nhằm an toàn bảo mật WordPress

Nói một cách dễ hiểu, kết nối với XML-RPC cho phép các ứng dụng và dịch vụ đăng bài, xuất bản bài viết từ xa. Nếu bạn nhận thấy website của mình thường xuyên có các bài viết lạ mà không có tài khoản nào khác ngoài Admin thì có thể website của bạn đang bị khai thác từ XML-RPC.

Nếu website của bạn đang sử dụng ứng dụng riêng cho Mobile thì bạn không được tắt XML-RPC WordPress. Vì khi bạn tắt XML-RPC sẽ mất kết nối với ứng dụng. Cũng như vậy, nếu website của bạn đang sử dụng XML-RPC để kết nối với các ứng dụng và dịch vụ khác thì bạn không nên tắt XML-RPC WordPress. Tất nhiên, bên dưới chúng ta sẽ có cách giải quyết cho vấn đề này nhằm bảo mật cho website của bạn.

Còn nếu website của bạn bình thường như Lại Văn Đức Blog. Website của bạn không hề có ứng dụng Mobile và không kết nối với bất kỳ ứng dụng nào khác … Bạn nên tắt XML-RPC để được an toàn hơn.

Tắt XML-RPC WordPress như thế nào ?

Có rất nhiều cách để bạn tắt hay vô hiệu hoá XML-RPC. Tất nhiên, khi cần thiết bạn vẫn có thể mở lại bình thường vì chúng ta không xoá XML-RPC đi, đây là API chức năng của hệ thống WordPress. Chúng ta chỉ tắt hay có thể gọi là vô hiệu hoá chức năng này. Để các ứng dụng khác không thể kết nối được.

Việc tắt XML-RPC WordPress là chúng ta đang loại bỏ một cách mà hacker có thể khai thác được trên website của chúng ta.

Có nhiều cách để thực hiện vấn đề này. Bạn có thể sử dụng Plugin WordPress hoàn toàn miễn phí hoặc đơn giản là sử lý với vài đoạn code nhỏ. Tuỳ vào nhu cầu và trường hợp của bạn, bạn hãy lựa chọn cho mình phương án dễ thực hiện nhất.

1. Tắt XML-RPC WordPress theo cách thủ công

Thực hiện việc vô hiệu hoá XML-RPC theo cách thủ công chúng ta cũng có 2 cách khác nhau. Cả 2 cách này đều thực hiện việc tắt XML-RPC WordPress. Bạn chỉ cần lựa chon 1 trong 2 cách là được.

Cách 1: Bạn hãy thêm đoạn Code bên dưới vào file functions.php trong Theme bạn đang sử dụng.

add_filter('xmlrpc_enabled', '__return_false');

Đoạn Code bên trên sẽ giúp bạn tắt XML-RPC WordPress một cách nhanh chóng và dễ dàng. Tuy nhiên, khi bạn thay đổi Theme WordPress cho website của mình, bạn cần phải chèn lại đoạn Code bên trên vào Theme mới.

Cách 2: Bạn hãy Copy đoạn Code bên dưới và chèn vào file .htaccess trong thư mục gốc của website.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
</Files>

Đoạn Code bên trên sẽ giúp website của bạn từ chối tất cả quyền truy cập vào XML-RPC. Đoạn Code này không giúp bạn Tắt XML-RPC WordPress nhưng nó sẽ tự động từ chối tất cả các kết nối đến XML-RPC. Như vậy website của bạn cũng mặc định an toàn trước các cuộc tấn công vào XML-RPC.

Trong trường hợp bạn đang cần sử dụng XML-RPC và bạn chỉ muốn XML-RPC kết nối đến địa chỉ IP do bạn cung cấp. Ngoài địa chỉ IP bạn cung cấp ra, XML-RPC sẽ tự động từ chối tất cả các địa chỉ IP khác.

Vì trong trường hợp này bạn không thể tắt XML-RPC WordPress được, bạn đang phải dùng XML-RPC cho ứng dụng của mình. Bạn hãy sử dụng riêng đoạn Code bên dưới và chèn vào file .htaccess trong thư mục gốc của website.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
allow from 123.123.123.123
</Files>

Bạn hãy thay 123.123.123.123 thành địa chỉ IP mà bạn cho phép XML-RPC kết nối là xong. Hoàn thành, XML-RPC sẽ chỉ kết nối đến địa chỉ XML-RPC khi được yêu cầu. Các địa chỉ IP khác sẽ không kết nối được.

2. Tắt XML-RPC WordPress sử dụng Plugin

Cách đơn giản hơn là sử dụng Plugin WordPress cho chức năng vô hiệu hoá XML-RPC. Mặc dù bản thân mình khuyên bạn nên sử dụng cách đầu tiên là chèn Code cho website của bạn. Tuy nhiên, nếu bạn thấy việc sử dụng code phức tạp. Bạn hãy sử dụng Plugin cho vấn đề này.

Bạn hãy tìm và cài đặt Plugin Disable XML-RPC. Plugin này sẽ giúp bạn tắt XML-RPC WordPress một cách nhanh chóng và hiệu quả nhất. Nếu bạn chưa biết cách cài đặt Plugin, hãy xem bài viết Cài Đặt Plugin WordPress.

Plugin Disable XML-RPC này không có bất kỳ thiết lập hay cấu hình nào cả. Bạn chỉ cần cài đặt và kích hoạt Plugin lên là xong. Chức năng chính và duy nhất của Plugin này là tắt XML-RPC WordPress. Tất cả các kết nối đến XML-RPC sẽ tự động bị từ chối. Từ đó giúp website của bạn an toàn hơn.

Thế Thôi

Tắt XML-RPC WordPress giúp website của chúng ta an toàn hơn, tránh được các cuộc tấn công nhắm đến XML-RPC. Bên trên mình đã hướng dẫn bạn nhiều cách và trường hợp khác nhau để tắt XML-RPC. Bạn có thể lựa chọn thực hiện theo nhu cầu của mình. Chúc website của bạn luôn được an toàn tuyệt đối.

Xem Bài Tiếp Theo Trong Series << Bảo Mật 2 Lớp WordPress với Plugin Google Authenticator
0 0 đánh giá
Đánh giá bài viết
guest

0 Bình luận
Phản hồi nội tuyến
Xem tất cả bình luận