Spouštíte aplikaci PHP, která používá XML-RPC? Zjistěte, jak zastavit útoky XML-RPC a zlepšit odezvu webu, výkon a využití zdrojů.
Pokud používáte PHP aplikaci, která používá XML-RPC, zvažte zablokování těchto požadavků nebo alespoň omezte požadavky na předem schválený seznam IP adres.
To nejen posílí zabezpečení vašeho webu, ale také zlepší odezvu webu, výkon/využití zdrojů.
Ale co je XML-RPC a co to má společného s vaším webem nebo blogem?
Protokol XML-RPC vytvořil Dave Winer , Mohsen Agsen, Bob Atkinson a Chris Aldrich v roce 1998.
První tři pracovali v Microsoftu a Chris Aldrich v UserLand.
XML-RPC poskytuje externím systémům způsob, jak komunikovat s webem, přičemž HTTP funguje jako transportní mechanismus a XML jako kódovací mechanismus.
Stala se populární, protože byla tak jednoduchá a časná.
Existovaly implementace ve všech hlavních jazycích a prostředích.
Například byl zabudován do Pythonu a OS Macintosh. Hlavní blogovací API byla vytvořena v XML-RPC.
V PHP je XMLRPC rozšíření, které do PHP přineslo funkce serveru XML RPC a klienta.
Rozšíření však bylo v PHP 8.0 uvolněno, protože knihovna a její závislosti nebyly aktualizovány již několik let.
Mnoho systémů pro správu obsahu používá XML-RPC včetně WordPress.
Ve WordPressu vám podpora XML-RPC umožňuje přidávat příspěvky na váš blog WordPress pomocí mnoha oblíbených klientů weblogů.
Úplnou adresu URL můžete zobrazit na adrese https://webcomm.dev/xmlrpc.php (kde „webcomm.dev“ je název vaší domény WordPress).
Umožňuje také jiným webům komunikovat s vaším webem WordPress.
Ale často to nepotřebujete nebo si ani nemusíte být vědomi, že existuje jako možnost.
Kromě skutečnosti, že rozšíření bylo počínaje PHP 8.0 zrušeno, mohou být požadavky XML-RPC také upraveny tak, aby způsobily, že váš web bude reagovat pomalu nebo dokonce způsobí, že nebude reagovat vůbec.
To se často provádí hrubým vynucením souboru, aby se web zpomalil, protože se snaží reagovat na všechny pingbacky a trackbacky.
Jednou ze jednoduchých metod, jak zabránit tomu, aby vám to ublížilo, je zajistit, aby webový server hostující aplikaci používal zabezpečení Mod.
ModSecurity je firewall webových aplikací (WAF), který pomáhá s běžnými webovými útoky, jako jsou SQL injections, DOS a další druhy běžných HTTP útoků.
Zákazníci hostující své webové stránky/aplikace na Web Hosting Magic může použít ModSecurity ke zmírnění takových útoků.
Ale i když jste chráněni, bezpečnost byla vždy kolektivní úsilí.
Je to jediný způsob, jak může fungovat podle představ.
Nejjednodušší způsob, jak lépe chránit svůj web/aplikaci, je deaktivovat požadavky prostřednictvím vašeho .htaccess.
Můžete to udělat úpravou souboru buď pomocí správce souborů cPanel nebo terminálu SSH.
- Nejprve se přihlaste ke svému účtu cPanel.
- Najděte Soubory a klikněte na Správce souborů .
- Tím se dostanete do public_html vašeho účtu (nebo do kořenového adresáře dokumentu obsahu vašeho webu).
- Upravte soubor .htaccess nebo vytvořte nový soubor s názvem .htaccess a vložte do něj následující kód:
# Block xmlrpc.php requests using the files directive <Files xmlrpc.php> Require all denied # Require ip $xxx.xxx.xxx.xxx </Files> ======== OR ======== # Block xmlrpc.php requests using the filesmatch directive (preferred) <FilesMatch "^xmlrpc\.php$"> Require all denied # Require ip $xxx.xxx.xxx.xxx </FilesMatch>
Můžete navštívit https://cdn.webhostingmagic.com/knowledgebase/disallow_xmlrpc.txt a stáhnout si to jako prostý text.
Pokud chcete povolit požadavky XML-RPC z konkrétní IP adresy, nahraďte $xxx.xxx.xxx.xxx IP adresou.
Uložte a zavřete soubor.
Pokud nevíte, jak upravit nebo vytvořit soubor .htaccess, můžete otevřít lístek podpory s naším týmem, který vám s tím pomůže.
Pokud používáte WordPress, můžete k dosažení stejného výsledku použít plugin.
Zákazníkům však vždy doporučujeme, aby místo více pluginů používali méně.
Chcete-li to provést:
- Přihlaste se do svého wp-admin
- Navštivte Pluginy>> Přidat nový sekce.
- Vyhledejte Zakázat XML-RPC .
- Nainstalujte plugin.
Naše dedikované servery, soukromé virtuální stroje nebo zákazníci VPS mohou navštívit portál podpory a požádat o deaktivaci souboru „xmlrpc.php“ na celém serveru.
Doufáme, že vám tento krátký tutoriál pomůže lépe chránit váš web před útoky a zneužitím XML-RPC.
Pro více informací o PHP XML-RPC navštivte http://www.xmlrpc.com/