U ranim danima WordPressa postojale su značajke koje su vam omogućavale daljinsku interakciju s vašim web mjestom. Te iste karakteristike omogućile su izgradnju zajednice dopuštajući pristup drugim blogerima blog. Glavni alat koji se koristi u tu svrhu je " XML-RPC ".
« XML-RPC "Ili" XML udaljeni poziv za postupak Daje veliku snagu WordPressu:
- Spajanje na vašu web lokaciju pametnim telefonom
- TrackBacks i Pingbacks uključeni blog
- Napredna upotreba Jetpacka
Ali postoji problem sa " XML-RPC ", koju morate riješiti kako biste očuvali svoju sigurnost WordPress blog.
Kako se XML-RPC koristi na WordPressu
Vratimo se u rane dane bloganje '(i prije WordPressa), većina autora na Internetu koristi dial-up Da surfate webom. Bilo je teško pisati članke i slati ih na mrežu. Rješenje je bilo pisati na računalo offline i " kopirka / Coller Vaš članak. Ljudi koji su koristili ovu metodu smatrali su je posebno teškom jer je njihov tekst često imao strane kodove, čak i ako je dokument spremljen u HTML formatu.
Blogger je stvorio sučelje za programiranje aplikacija (API) kako bi omogućili drugim programerima pristup blogovima Blogger. Dovoljno je bilo odrediti naziv web stranice, što je korisnicima omogućilo stvaranje članaka izvan mreže, a zatim povezivanje s Blogger API putem XML-RPC. I drugi sustavi za bloganje slijedili su to, a na kraju je postojao MetaWeblogAPI koji je prema zadanim postavkama standardizirao pristup.
Nakon deset godina većina naših aplikacija nalazi se na našim telefonima i tabletima. Jedna od stvari koju ljudi vole raditi sa svojim telefonima jest objavljivati na svojim telefonima WordPress blog. U 2008-09, Automattic je bio prisiljen izraditi WordPress aplikaciju za gotovo svaki mobilni operativni sustav (iste Blackberry i Windows Mobile).
Te su aplikacije putem XML-RPC sučelja dopuštale upotrebu vaših vjerodajnica za WordPress.com za povezivanje s web mjestom WordPress na kojem imate određena prava pristupa.
Zašto bismo trebali zaboraviti na XML-RPC?
Kompatibilnost s XML-RPC Dio je WordPressa od prvog dana. WordPress 2.6 objavljen je 15. srpnja 2008, a aktivacija " XML-RPC Dodan je postavkama WordPressa i zadane postavke za " od ".
Tjedan dana kasnije objavljena je verzija WordPressa za iPhone, a korisnici su zamoljeni da aktiviraju značajku. Četiri godine nakon što se aplikacija iPhone pridružila obitelji, WordPress 3.5 aktivirao je " XML-RPC ".
Glavne slabosti povezane s XML-RPC-om su:
- Napadi grubom silom: Napadači se pokušavaju prijaviti na WordPress koristeći xmlrpc.php sa što više kombinacija korisničkog imena i lozinke. Nema probnih ograničenja. Metoda u xmlrpc.php omogućuje napadaču upotrebu jedne naredbe (system.multicall) pogoditi stotine zaporki.
- Odbijanje napada putem usluge Pingback
Praktičnost u odnosu na sigurnost WordPressa
Dakle, evo opet. Suvremeni svijet duboko je dosadan svojim kompromisima.
Ako se želite pobrinuti da nitko ne donese bombu na vaš brod, samo je prođite kroz detektore metala. Ako želite zaštititi svoj automobil tijekom kupnje, zaključajte vrata i zatvorite prozore. Ne možete se samo osloniti na lozinku web lokacije da biste je zaštitili (pružaju li prozori automobila dovoljnu zaštitu?), osobito ako koristite Jetpack ili mobilne aplikacije.
Kako onemogućiti XML-RPC na WordPressu
Dakle, postali ste ovisni o svim tim alatima koji su pak ovisni o XML-RPC. Razumijem da zapravo ne želite isključiti "XML-RPC" čak i na neko vrijeme.
Međutim, evo nekoliko dodataka koji će vam u tome pomoći:
- Zaustavite XML-RPC napad : omogućuje Jetpacku i drugim alatima Automattic pristup xmlrpc.php samo putem .htaccess.
- Kontrola XML-RPC izdavaštva: jednostavno vraća staru opciju daljinskog objavljivanja natrag na opcije pisanja.
- Sigurnost usluge iThemes, Anti-Malware Security i Žestoki vatreni zid et Sve u jednom WP sigurnost i vatrozidOvi sigurnosni alati opće namjene uključuju zaštitu od brutalne sile u besplatnim verzijama. Gledaju ponavljane pokušaje prijave sa ili bez xmlrpc.php i štite vas od upita koji pokušavaju probiti vašu web lokaciju.
REST (i OAuth) na spašavanje
Sada možda znate da se programeri WordPressa okreću REST rješenju. Programeri u timu REST API-ja imali su nekoliko problema s pripremama, uključujući novčić za provjeru autentičnosti namijenjen rješavanju problema XML-RPC. Kada se ovo napokon provede (trenutno zakazan za WordPress 4.7 na kraju 2016), nećete morati koristiti XML-RPC za povezivanje sa softverom poput JetPack.
Umjesto toga, autentificirati ćete se putem OAuth protokola. Ako ne znate što je OAuth protokol, sjetite se što se događa kada web stranica zatraži da se prijavite s Googleom, Facebookom ili čak Twitterom. Protokol koji se koristi na tim platformama je OAuth.
WordPress REST API test
Kao što sam ranije rekao, REST API još nije integriran u jezgru WordPressa i neće biti mjesecima. Danas ga možete započeti s testiranjem u test okruženjima:
Rest API definitivno će biti budućnost WordPressa. O potonjem smo već napisali nekoliko vodiča koji će vam dati ideje o tome kako ga početi provoditi:
- Kako znati kada koristiti API za odmor
- Kako se koristi Rest API
- 7 učinkovitih implementacija Rest API-ja
- Kako se koristi WordPress HTTP API
To je to za ovaj tutorial. Nadam se da ćete biti bolje informirani o rizicima povezanim s korištenjem XML-RPC-a. Ne ustručavajte se postaviti nam pitanja u obrazac komentari.
