in ,

Cara Nonaktifkan XML-RPC di WordPress dengan Mudah

Cara Nonaktifkan XML-RPC di WordPress
Cara Nonaktifkan XML-RPC di WordPress

Cara Nonaktifkan XML-RPC di WordPress – WordPress XML-RPC adalah fungsi yang cukup tua yang dimasukkan ke WordPress CMS. Ini adalah cara untuk membakukan komunikasi antara situs WordPress dan teknologi web atau seluler lainnya. Jika Anda adalah pengguna WordPress, tutorial ini akan memberi tahu Anda apa itu XML-RPC dan mengapa itu adalah ide yang baik untuk menonaktifkannya untuk melindungi diri Anda.

Cara Kerja XML-RPC

Situs web WordPress Anda dirancang untuk berfungsi di Web. Ini menggunakan teknologi web inti seperti HTML, CSS, dan PHP. Semua file ini terselip di folder di dalam server hosting Anda.

Ketika seorang pengunjung mengklik pada nama domain Anda atau salah satu turunannya, mereka mendarat di halaman web Anda. Folder spesifik yang berisi informasi yang ingin mereka unduh ke browser mereka. Sekarang browser mengartikan informasi ini dan menunjukkannya kepada mereka.

Tetapi bagaimana jika Anda tidak ingin mengakses situs web Anda menggunakan browser? Bagaimana jika Anda ingin mengaksesnya dari perangkat lunak admin khusus atau bahkan aplikasi seluler?

apa-is-xmlrpc-how-xml-rpc-works

WordPress XML-RPC membahas masalah ini.

XML-RPC adalah API yang membungkus informasi penting di dalam file XML sederhana dan mengirimkannya ke aplikasi seluler atau perangkat lunak jarak jauh. Aplikasi seluler kemudian mengembang informasi ini dengan desain yang telah dikonfigurasikan sebelumnya. Aplikasi seluler dalam hal ini tidak perlu lagi mengunduh file halaman web yang substansial, dan Anda masih dapat mengakses data dalam aplikasi yang bagus.

Dan tampaknya, satu-satunya masalah adalah Anda harus mengirim nama pengguna dan kata sandi setiap kali Anda ingin mengotentikasi melalui XML-RPC. Ini membuatnya sangat rentan terhadap serangan peretas.

Bagaimana XML-RPC Membuat Anda Rentan

XML-RPC membuat situs Anda rentan terhadap serangan setidaknya dalam dua cara: serangan brute force dan pencurian kredensial login .

1. Serangan Brute Force

Penyerang berusaha menginfeksi situs web Anda menggunakan serangan brute force.

what-is-xmlrpc-brute-force-attack

Serangan brute force hanyalah permainan menebak. Penyerang mencoba untuk menebak kata sandi Anda berulang-ulang sampai mereka berhasil.

Itu terjadi beberapa ribu kali per detik sehingga mereka dapat mencoba jutaan kombinasi dalam waktu singkat.

Di situs WordPress Anda dapat dengan mudah membatasi serangan brute force dengan membatasi upaya login untuk situs web Anda. Namun, masalah dengan XML-RPC adalah tidak membatasi upaya login di situs Anda.

Seorang penyerang dapat terus menebak dengan menipu server Anda bahwa mereka adalah admin yang berusaha mengambil beberapa informasi. Dan karena mereka tidak memiliki kredensial yang benar, mereka belum dapat mengakses situs Anda, jadi mereka terus mencoba beberapa kali tanpa akhir.

Karena tidak ada batasan untuk jumlah percobaan, hanya masalah waktu sebelum mereka mendapatkan akses. Dengan cara ini seorang peretas juga dapat dengan mudah menjatuhkan situs dengan melakukan serangan DDOS XML-RPC (dengan mengirimkan gelombang permintaan “pingback” ke XML-RPC untuk membebani dan menghancurkan server).

2. Menyadap / Mencuri Informasi Masuk

apa-is-xmlrpc-login-intersepsi

Kelemahan lain dari XML-RPC adalah sistem otentikasi yang tidak efisien. Setiap kali Anda mengirim permintaan untuk mengakses situs web Anda, Anda juga harus mengirimkan kredensial login Anda. Ini berarti nama pengguna dan kata sandi Anda terbuka.

Peretas mungkin bersembunyi di tikungan untuk mencegat paket informasi ini. Begitu mereka berhasil, mereka tidak perlu melalui kerasnya serangan brute force lagi. Mereka hanya melenggang ke situs web Anda menggunakan kredensial Anda yang valid.

Haruskah saya Nonaktifkan XML-RPC di WordPress?

Sejak WordPress versi 3.5, ada begitu banyak perbaikan pada kode XML-RPC sehingga tim WordPress menganggapnya cukup aman untuk diaktifkan secara default. Jika Anda mengandalkan aplikasi seluler atau perangkat lunak jarak jauh untuk mengelola situs WordPress Anda, Anda sebaiknya tidak menonaktifkan XML-RPC.

Jika Anda sangat sadar akan keamanan server Anda, mungkin lebih baik untuk menonaktifkannya karena menutupi satu kemungkinan cara yang dapat digunakan peretas untuk menyerang situs Anda.

Cara Nonaktifkan XML-RPC di WordPress

XML-RPC diaktifkan secara default di WordPress, tetapi ada beberapa cara untuk menonaktifkannya.

Catatan : jika Anda menggunakan plugin JetPack yang Pro, Anda tidak dapat menonaktifkan XML-RPC, karena diperlukan untuk Jetpack untuk berkomunikasi dengan server. Juga, sebelum menonaktifkan XML-RPC, pastikan tidak ada plugin atau tema Anda yang menggunakannya.

Menonaktifkan XML-RPC

1. Temukan folder tema Anda (biasanya di “wp-content / themes /”), dan buka file “functions.php”.

2. Rekatkan perintah berikut ke akhir file:

// Nonaktifkan gunakan XML-RPC 
add_filter (  'xmlrpc_enabled' ,  '__return_false'  ) ;

Simpan file “functions.php”. Ini akan mematikan fungsionalitas XML-RPC di WordPress. Perhatikan bahwa metode ini hanya menonaktifkan XML-RPC, tetapi tidak menghentikan peretas untuk menyerang situs Anda karena file xml-rpc.php ada.

Memblokir Akses ke file XML-RPC

Cara terbaik untuk mencegah peretas dari serangan adalah dengan memblokir akses ke file xml-rpc.

Server Apache

Jika situs WordPress Anda berjalan di server Apache (jika Anda melihat file “.htaccess” di folder instalasi WordPress Anda, Anda bisa yakin bahwa situs Anda di-host di server Apache), ikuti langkah-langkah ini.

1. Masuk ke CPanel Anda. Cari Manajer File.

apa-is-xmlrpc-cpanel-login

2. Buka file manager. Arahkan ke folder “public_html” dan kemudian dokumen “.htaccess”.

apa-is-xmlrpc-htaccess

3. Klik kanan untuk mengedit file.

apa-is-xmlrpc-htaccess-edit

4. Di bagian bawah file tempel kode berikut:

# Larang semua permintaan WordPress xmlrpc.php ke domain ini 
< Files xmlrpc.php>
 menolak pesanan  , izinkan penolakan dari semua 
</ Files >
apa-is-xmlrpc-htaccess-edit-save-changes

5. Simpan dan keluar.

Server nginx

Untuk server Nginx, rekatkan kode berikut ke file konfigurasi server Anda:

# nginx blok xmlrpc.php meminta 
lokasi /xmlrpc.php { 
    deny all ; 
}

Sekarang situs Anda aman dari serangan.

Kesimpulannya

Serangan brutal dan pencurian data akan terus menimbulkan masalah bagi pemilik situs. Ini adalah tugas Anda untuk memastikan situs Anda aman . Cara Menonaktifkan XML-RPC adalah salah satu cara efektif untuk melakukan ini di wordpress. Ikuti tutorial di atas, dan lindungi situs web dan pengunjung Anda dari peretas sekarang.

Written by masarbi

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Aplikasi Stiker Whatsapp Terbaik

30+ Aplikasi Stiker Whatsapp Terbaik dan Terkeren

VPN Terbaik Untuk Mac

10 VPN Terbaik Untuk Mac 2019