Morfitronik Security & Privacy

WordPress: Wyłączenie protokołu XML-RPC

2015-06-03 11:55:33
Morfik

Jeśli publikujemy posty na swoim blogu, to pierw musimy je gdzieś sporządzić. Możemy to robić w zwykłym notatniku lub też bezpośrednio w formularzu WordPressa dostępnego przy edycji postu. Istnieje też inna możliwość, mianowicie korzystanie ze specjalnie przeznaczonego do tego celu oprogramowania – klientów blogowych działających w oparciu o protokół XML-RPC. Jest to mechanizm podobny tego znanego choćby z poczty internetowej, czyli mamy konto email, np. na gmailu ale do tworzenia i zarządzania wiadomościami wykorzystujemy np. Thunderbirda. Podobnie możemy postępować z treścią pojawiającą się na blogu i nawet nie musimy być w tym czasie online. Jednym z bardziej znanych klientów, przy pomocy którego możemy wrzucać posty na bloga, to Windows Live Writer (WLW). Poza tym, protokół XML-RPC wykorzystywany jest także przez część serwisów internetowych, np. Flickr , co umożliwia im zamieszczanie postów w naszej witrynie.

Problemy z protokołem XML-RPC

Protokół XML-RPC we wcześniejszych wersjach WordPressa powodował dość spore problemy z bezpieczeństwem, w efekcie czego został domyślnie wyłączony ale nie zrezygnowano z niego zupełnie. Po wielu latach ten protokół powrócił do łask i deweloperzy WordPressa postanowili go domyślnie włączyć.

To czy dana strona jest zdolna do komunikacji za pośrednictwem protokołu XML-RPC można bardzo łatwo ustalić. Wystarczy przejrzeć źródło witryny i odszukać tam dwie linijki zawierające xmlrpc.php oraz wlwmanifest.xml , przykładowo:

<link rel="EditURI" type="application/rsd+xml" title="RSD" href="https://morfitronik.lh/xmlrpc.php?rsd" />
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="https://morfitronik.lh/wp-includes/wlwmanifest.xml" />

Plik xmlrpc.php jest odpowiedzialny za możliwość publikowania treści na stronie za pośrednictwem różnych klientów blogowych, klientów email oraz otrzymywanie pingbacków i trackbacków od innych blogów. Natomiast plik wlwmanifest.xml jest potrzebny jedynie klientowi Microsoftu. Nie każdy jednak korzysta z tego typu funkcjonalności, a jako, że mogą one stwarzać spore zagrożenie, to przydałoby się je wyłączyć.

Czyszczenie nagłówka

Wyłączenie obsługi zbędnych rzeczy w WowrdPressie oprócz poprawy bezpieczeństwa ma jeszcze jedną zaletę, mianowicie oczyszcza kod, dzięki czemu wyszukiwarki lepiej traktują w rankingach takie artykuły. Dlatego też jeśli nie publikujemy postów zdalnie przy pomocy email czy tych klientów blogowych i nie korzystamy z pingbacków/trackbaków, które też potrafią sporo namieszać, to zwyczajnie dla świętego spokoju wyłączmy sobie obsługę protokołu XML-RPC. Najprościej możemy to zrobić przez dopisanie do pliku functions.php w używanym motywie poniższych linijek:

remove_action( 'wp_head', 'wlwmanifest_link' );
remove_action( 'wp_head', 'rsd_link' );
add_filter('xmlrpc_enabled', '__return_false');

Dwie pierwsze linijki usuną zbędny kod z nagłówka bloga, natomiast ostatnia wyłącza kompletnie obsługę protokołu XML-RPC i od tego momentu przy próbie, np. wysłania zdalnej wiadomości, zostanie zwrócony komunikat z błędem. Niemniej jednak, te dwa pliki dalej będą obecne na serwerze pod adresami http://domena.com/xmlrpc.php oraz http://domena.com/wp-includes/wlwmanifest.xml i przydałoby się o nie jakoś zatroszczyć. Unikajmy jednak stosowania kodu błędu 404 . Zamiast niego jest lepiej skorzystać z kodu 403 , który akurat jest generowany przy okazji stosowania modułu Files obecnego na serwerze Apache. By zabronić publice wglądu w te dwa powyższe pliki, dopisujemy do .htaccess poniższe kod:

<Files "xmlrpc.php">
    Require all denied
</Files>

<Files "wlwmanifest.xml">
    Require all denied
</Files>

Pingbacki i Trackbaki

Trzeba także pamiętać, że jeśli wyłączamy całkowicie protokół XML-RPC, to również musimy wyłączyć pingbacki i trackbaki w opcjach WordPressa (Settings => Discussion):


Komentarze

Zawartość wpisu