WordPress'in ilk günlerinde web sitenizle uzaktan etkileşim kurmanıza olanak tanıyan özellikler vardı. Aynı özellikler, diğer blog yazarlarının da erişmesine izin vererek bir topluluk oluşturmayı mümkün kıldı. blogunuzun. Bu amaçla kullanılan ana araç “ XML-RPC '.
« XML-RPC "Ya" XML Uzaktan Yordam Çağrısı WordPress'e büyük güç verir:
- Bir SmartPhone ile sitenize bağlanma
- TrackBack'ler ve Pingback'ler açık blogunuzun
- Jetpack'in gelişmiş kullanımı
Ama "ile ilgili bir sorun var XML-RPC güvenliğini korumak için çözmeniz gereken WordPress blog.
WordPress'te XML-RPC nasıl kullanılır?
İlk günlerinde geri dönelim Bloglama "(Uzun WordPress önce), internetteki çoğu yazar dial-up İnternette gezinmek için. Makale yazmak ve çevrimiçi göndermek zordu. Çözüm, bilgisayarınıza çevrimdışı yazmaktı ve " fotokopi / coller Makalen Bu yöntemi kullanan kişiler, özellikle zor bulundu çünkü metinleri genellikle yabancı kodlara sahipti, belge HTML biçiminde kaydedilmiş olsa bile.
Blogger, bir uygulama programlama arayüzü oluşturdu (API) diğer geliştiricilerin Blogger bloglarına erişmesine izin vermek için. Kullanıcıların çevrimdışı makaleler oluşturmasına ve ardından XML-RPC aracılığıyla Blogger API'ye bağlanmasına izin veren web sitesinin adını belirtmek yeterliydi. Diğer blog sistemleri de aynı şeyi takip etti ve sonuçta varsayılan olarak erişimi standartlaştıran bir MetaWeblogAPI vardı.
On yıl sonra, uygulamalarımızın çoğu telefonlarımızda ve tabletlerimizde. İnsanların telefonlarıyla yapmayı sevdikleri şeylerden biri, WordPress blog. 2008-09'da Automattic, hemen hemen her mobil işletim sistemi için bir WordPress uygulaması oluşturmak zorunda kaldı (aynı Blackberry ve Windows Mobile).
Bu uygulamalar, XML-RPC arayüzü aracılığıyla, belirli erişim haklarına sahip olduğunuz bir WordPress sitesine bağlanmak için WordPress.com kimlik bilgilerinizi kullanmalarına izin verdi.
XML-RPC'yi neden unutmalıyız?
İle uyumluluk XML-RPC İlk günden beri WordPress'in bir parçası. WordPress 2.6, 15 Temmuz 2008'de yayınlandı ve " XML-RPC WordPress ayarlarına eklendi ve varsayılanları " kapalı '.
Bir hafta sonra, iPhone için WordPress'in bir sürümü yayınlandı ve kullanıcılardan özelliği etkinleştirmeleri istendi. İPhone uygulamasının aileye katılmasından dört yıl sonra, WordPress 3.5 " XML-RPC '.
XML-RPC ile ilgili ana zayıflıklar şunlardır:
- Kaba kuvvet saldırıları: Saldırganlar, WordPress'te xmlrpc.php kullanarak birçok kullanıcı adı ve şifre kombinasyonuyla oturum açmaya çalışır. Deneme kısıtlaması yoktur. Xmlrpc.php'deki bir yöntem, saldırganın tek bir komut (system.multicall) Şifreler yüzlerce tahmin etmek.
- Hizmet Reddi saldırıları Pingback yoluyla
Kolaylık ve WordPress Güvenliği
İşte yine başlıyoruz. Modern dünya tavizleriyle çok sıkıcı.
Kimsenin teknenize bomba getirmediğinden emin olmak istiyorsanız, onu metal dedektörlerinden geçirmeniz yeterli. Alışveriş sırasında arabanızı korumak istiyorsanız kapıları kilitleyin ve camları kapatın. Korumak için web sitesi şifresine güvenemezsiniz (Araba camları yeterli koruma sağlıyor mu?) Kullanarak, Jetpack veya mobil uygulamaları kullanmak özellikle.
WordPress'te XML-RPC nasıl devre dışı bırakılır
Böylece, XML-RPC'ye bağımlı olan tüm bu araçlara bağımlı hale geldiniz. "XML-RPC" yi bir süreliğine bile kapatmak istemediğinizi anlıyorum.
Ancak, işte bunu yapmanıza yardımcı olacak birkaç eklenti:
- XML-RPC Attack Durdur : yalnızca Jetpack ve diğer Automattic araçlarının .htaccess aracılığıyla xmlrpc.php'ye erişmesine izin verir.
- Kontrol XML-RPC Yayıncılık: eski uzaktan yayınlama seçeneğini yazma seçeneklerine geri döndürür.
- iThemes Security, Anti-Malware Güvenlik ve Brute-Force Güvenlik Duvarı et Hepsi Bir Arada WP Güvenliği ve Güvenlik DuvarıBu genel amaçlı güvenlik araçları, ücretsiz sürümlerde kaba kuvvet koruması içerir. Onlar xmlrpc.php ile veya onsuz tekrarlanan giriş denemelerini izler ve sizi sitenizi kırmaya çalışan sorgulardan korur.
REST (ve OAuth) kurtarmaya
Artık WordPress geliştiricilerinin REST çözümüne yöneldiğini biliyor olabilirsiniz. REST API ekibindeki geliştiriciler, XML-RPC sorununu çözmeyi amaçlayan kimlik doğrulama parası da dahil olmak üzere hazırlanırken birkaç sorunla karşılaştı. Bu nihayet uygulandığında (şu anda 4.7 sonunda WordPress 2016 için zamanlanmış), JetPack gibi bir yazılıma bağlanmak için XML-RPC kullanmanız gerekmez.
Bunun yerine, OAuth protokolü aracılığıyla kimlik doğrulaması yapacaksınız. Bir OAuth protokolünün ne olduğunu bilmiyorsanız, bir web sitesi Google, Facebook ve hatta Twitter ile oturum açmanızı istediğinde ne olacağını unutmayın. Genellikle bu platformlarda kullanılan protokol OAuth'tur.
WordPress REST API testi
Daha önce de söylediğim gibi, REST API henüz WordPress'in çekirdeğine entegre edilmedi ve aylarca olmayacak. Bugün test ortamlarınızda test etmeye başlayabilirsiniz:
Rest API kesinlikle WordPress'in geleceği olacak. İkincisi hakkında, onu nasıl uygulamaya başlayabileceğiniz konusunda size fikir verecek birkaç öğretici yazdık:
- Rest API'nin ne zaman kullanılacağını nasıl anlarım?
- Rest API nasıl kullanılır
- Rest API'nin 7 etkili uygulaması
- WordPress HTTP API nasıl kullanılır
Bu eğitim için bu kadar. Umarım XML-RPC kullanımıyla ilgili riskler hakkında daha iyi bilgilendirilirsiniz. Bize soru sormaktan çekinmeyin formulaire yorumlar.
