XML-RPC là gì ? Làm thế nào để vô hiệu hóa XML-RPC ? Đây là câu hỏi nhiều bạn đặt ra khi quản trị website WordPress và mong muốn bảo mật website WordPress của mình. Ở bài viết này tôi sẽ tổng quan cho các bạn biết với XML-RPC và cách tắt XML-RPC trên website WordPress của bạn.
XML-RPC là gì ?
XML-RPC là cách để ứng dụng hoặc hệ thống khác giao tiếp với website WordPress của bạn từ xa. XML-RPC có thể ví như một bưu điện đóng vai trò trung gian gửi và nhận thư của bạn thay mặt cho nhà riêng và công ty của bạn. XML-RPC.php, đóng vai trò trung gian giữa trang WordPress của bạn và các hệ thống khác. Khi một ứng dụng gửi yêu cầu đến trang web của bạn thông qua XML-RPC, tệp XML-RPC.php sẽ xử lý yêu cầu đó và gửi phản hồi lại, giống như cách bưu điện nhận và gửi thư thay mặt bạn.
XML là định dạng tệp mà WordPress sử dụng để xuất nội dung trang web của bạn. Và sau đó là RPC—Remote Procedure Call (Thủ tục gọi hàm từ xa)—là giao thức được sử dụng để thực thi code từ một máy tính khác. Nói một cách đơn giản hơn, nó cho phép bạn thực hiện mọi việc trên một máy tính khi bạn đang sử dụng một máy tính khác.
XML-RPC kết hợp hai thứ này và từng là một công cụ quan trọng để đăng nội dung từ ứng dụng di động lên các trang web WordPress. Nhưng bây giờ chúng ta có API REST, linh hoạt hơn XML-RPC rất nhiều. Mặc dù code cơ bản cho XML-RPC vẫn được lưu trữ trong tệp có tên xmlrpc.php trên trang web của bạn nhưng nó không còn cần thiết nữa.
Tại sao nên tắt XML-RPC trên website WordPress của bạn ?
Bạn có thể đã từng nghe nói đến tắt XML-RPC để bảo mật trang web WordPress, nhưng tại sao phải làm như thế ?
Các cuộc tấn công Brute force xảy ra khi hacker cố gắng đoán tổ hợp tên người dùng và mật khẩu của bạn nhiều lần cho đến khi chúng có quyền truy cập vào trang web của bạn. Với XML-RPC, kẻ tấn công có thể sử dụng các bot tự động để đoán thông tin đăng nhập thông qua tệp xmlrpc.php của WordPress, giúp chúng thực hiện một cuộc tấn công brute force dễ dàng hơn. Nói một cách đơn giản hơn, hãy tưởng tượng ai đó đang cố gắng đoán mật khẩu trên khóa két sắt của bạn nhiều lần cho đến khi họ đoán đúng, và nguy cơ mất tiền mất dữ liệu của bạn khá cao.
Mặt khác, các cuộc tấn công DDoS liên quan đến việc trang web của bạn bị quá tải bởi lưu lượng truy cập, khiến trang web bị sập hoặc không phản hồi. Với XML-RPC, kẻ tấn công có thể sử dụng kỹ thuật có tên “pingback” để gửi một số lượng lớn yêu cầu đến tệp xmlrpc.php trên trang web của bạn, khiến lưu lượng truy cập quá tải và khiến trang web của bạn ngừng hoạt động. Hãy tưởng tượng ai đó gửi hàng nghìn lá thư đến nhà bạn cùng lúc, khiến hộp thư của bạn bị tràn và khiến các gói thư khác không thể đi qua được.
Làm thế nào để vô hiệu hóa XML-RPC trên website WordPress ?
Để vô hiệu hóa XML-RPC trên website WordPress bạn cài đặt và kích hoạt plugin Disable XML-RPC cho website WordPress https://wordpress.org/plugins/disable-xml-rpc/
Sau khi cài đặt và kích hoạt plugin Disable XML RPC xong thì website của bạn đã vô hiệu hóa tính năng XML-RPC.
Làm thế nào để kiểm tra XML-RPC trên website WordPress đã vô hiệu hóa hay chưa ?
Làm thế nào để kiểm tra XML-RPC website WordPress đã vô hiệu hóa hay chưa? Bạn có thể kiểm tra ở trong File Manager và sẽ thấy nó tồn tại. Vậy thì tại sao không thể xóa nó ? Bởi vì đơn giản là nếu bạn xóa đi, thì sau này khi bạn cập nhật website WordPress lên phiên bản mới nhất thì XML-RPC sẽ xuất hiện trở lại, vì vậy bạn cần phải vô hiệu hóa XML-RPC theo cách phía dưới.
Để kiểm tra xem XML-RPC đã được vô hiệu hóa hay chưa bạn sẽ truy cập vào link này https://w3get.com/xml-rpc-validator/. Sau đó nhập link website của bạn cần kiểm tra và nhấn nút Check để bắt đầu kiểm tra.
Sau khi nhấn Check xong thì website sẽ trả về cho bạn kết quả
Nếu kết quả là Failed to check your site at <domain> because of the following error thì khi đó XML-RPC đã được vô hiệu hóa
Còn nếu kết quả trả về là Congratulation! Your site passed the first check. thì website của bạn chưa vô hiệu hóa XML-RPC. Bạn cần phải vô hiệu hóa XML-RPC ngay
Kết luận: XML-RPC là gì ? Vô hiệu hóa XML-RPC như thế nào ?
Ở bài viết trên tôi đã cho các bạn biết về XML-RPC và hướng dẫn các bạn chi tiết cách vô hiệu hóa XML-RPC cho website WordPress. Bạn hãy thực hiện đúng các bước trên để bảo mật website WordPress của bạn nhé. Ngoài việc tắt XML-RPC ra thì bạn nên bật tính năng bảo mật 2 lớp cho website của bạn theo hướng dẫn này https://itqavn.net/bao-mat-2-lop-wordpress-website-nhu-the-nao/. Nếu bạn đang quan tâm đến thiết kế và quản trị website WordPress thì hãy đăng ký học khóa học thiết kế website WordPress tại ITQAVN https://itqavn.net/dang-ky-hoc/
Nếu bạn có thắc mắc hay cần đóng góp ý kiến thì hãy nhắn tin với chúng tôi qua Messenger https://m.me/itqavn.net