WordPress Schakel XMLRPC uit: volledige gids (via code of plug-in)

januari 9, 2023 KCCSB 0 reacties

Op zoek naar een WordPress uitschakelen XMLRPC plugin? Of misschien wilt u XMLRPC handmatig uitschakelen via een kort codefragment? Zoek niet verder, want in dit artikel laten we u zien hoe u XMLRPC met beide methoden kunt uitschakelen.

Maar voordat we ingaan op de stappen voor beide methoden, proberen we enkele basisvragen te beantwoorden waar u waarschijnlijk aan denkt, zoals:

Hoe groot is de beveiligingsdreiging van XMLRPC?
Waarom bestaat het in de eerste plaats?
Is het uitschakelen van de XMLRPC voldoende?

Wees gerust, we zullen al je brandende vragen beantwoorden. Laten we beginnen. Dit is wat we gaan behandelen:

📚 Inhoudsopgave:

Wanneer XMLRPC niet uitschakelen?

De XMLRPC is ontwikkeld om WordPress in staat te stellen te communiceren met andere systemen. Voor het gebruik van de WordPress-applicatie op uw mobiel is bijvoorbeeld XMLRPC vereist.

Tegenwoordig heb je XMLRPC niet echt nodig vanwege de REST API die nu gegevens overdraagt tussen WordPress en andere systemen.

Dat gezegd hebbende, XMLRPC is nog steeds opgenomen in een WordPress-installatie vanwege achterwaartse compatibiliteit. We weten allemaal dat het up-to-date houden van uw website uiterst belangrijk is, maar er zijn gevallen waarin website-eigenaren besluiten om updates achter te houden. En als hun site draait op een versie die ouder is dan de REST API, dan is het beter om het XMLRPC-bestand ingeschakeld te houden.

Zoals u wellicht al weet, is het grootste nadeel van het ingeschakeld houden van het XMLRPC-bestand dat het bekend staat om kwetsbaarheden in een WordPress-website te introduceren. Daarom raden we u ten zeerste aan een WordPress-beveiligingsplug-in op uw site te installeren om hackers op afstand te houden.

Misschien wilt u het PHP-bestand (bijv. XMLRPC.php) behouden wanneer u het gebruikt een applicatie die geen toegang heeft tot de REST API maar heeft toegang tot de XMLRPC. In dit specifieke geval is XMLRPC slechts een tijdelijke oplossing en we raden u ten zeerste aan een toepassing te vinden die compatibel is met de REST API.

Nu u weet wanneer u de XMLRPC niet moet uitschakelen, laten we eens kijken naar alle geldige redenen waarom u het PHP-bestand zou moeten uitschakelen:

De meest voorkomende reden om het XMLRPC-bestand uit te schakelen, is dat het uw website kwetsbaar maakt voor hackaanvallen, zoals DDoS en brute force-aanvallen. Het PHP-bestand verbruikt ook veel van uw serverbronnen, waardoor uw website supertraag wordt.

Van sommige plug-ins, zoals Jetpack, is bekend dat ze problemen ondervinden met XMLRPC.

jetpack XMLRPC-fout — Jetpack heeft problemen met XML-RPC

Dus als u het XMLRPC-bestand wilt uitschakelen, volgt u de onderstaande stappen.

XMLRPC uitschakelen

Er zijn twee manieren om het XMLRPC-bestand uit te schakelen. U kunt dit doen met behulp van een plug-in of handmatig. We behandelen beide methoden hieronder. Laten we erin duiken…

Belangrijk – Voordat u verder gaat, maakt u een back-up van uw volledige website. Om deze zelfstudie te volgen, moet u een plug-in installeren of uw WordPress-bestanden wijzigen. Het is vaak bekend dat websites kapot gaan wanneer een nieuwe plug-in wordt geïnstalleerd en het wijzigen van bestanden is een risicovolle onderneming. Back-ups zijn een vangnet waarop u kunt terugvallen tijdens onfortuinlijke omstandigheden. Zorg er dus voor dat u een back-up maakt voordat u doorgaat.

WordPress schakelt XMLRPC uit met een plug-in

Er zijn tal van plug-ins die XMLRPC op uw WordPress-website uitschakelen. In deze zelfstudie gaan we de meest populaire gebruiken: Schakel XML-RPC uit. Als u het niet kunt gebruiken, kunt u een van de volgende alternatieven proberen:

Pro-tip: Heb je een beveiligingsplugin op je website geïnstalleerd? Informeer dan of je XMLRPC kunt uitschakelen met die beveiligingsplugin. iThemes kan bijvoorbeeld XMLRPC uitschakelen met een klik op de knop.

Laten we nu XMLRPC uitschakelen met behulp van de Disable XML-RPC-plug-in.

Download en installeer de Schakel XML-RPC uit plug-in op uw WordPress-website. En dat is het. De plug-in schakelt het PHP-bestand automatisch uit zonder dat u een vinger hoeft op te steken.

Het gebruik van plug-ins is een geweldige manier om problemen op een WordPress-website op te lossen, maar het installeren van plug-ins heeft een keerzijde. Het verbruikt veel van uw serverbronnen. Daarom heeft de handmatige manier misschien de voorkeur van veel website-eigenaren.

WordPress schakelt XMLRPC handmatig uit

Er zijn drie manieren om de XMLRPC handmatig uit te schakelen. U kunt dit doen door een filter te gebruiken of door de .htaccess- of de Ngnix-configuratiebestanden aan te passen. Laten we ze allemaal uitproberen.

Schakel uit met behulp van het .htaccess-bestand

Om het .htaccess-bestand te bewerken, moet u uw hostingaccount openen, ga naar cPanel → Bestandsbeheer → public_html → .htaccess. Klik gewoon met de rechtermuisknop en selecteer Bewerk op het .htaccess-bestand. Voeg vervolgens de volgende code in aan het einde van het bestand:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Vergeet niet op opslaan te drukken voordat u het venster of tabblad sluit.

htaccess-bestand bewerken — Het .htacess-bestand bewerken om XMLRPC uit te schakelen

Kanttekening: Als u nog nooit met de backend van uw WordPress-website te maken hebt gehad, zal het bewerken van het .htacess-bestand een hele klus zijn. We raden aan om meer te weten te komen over de functies en het belang van het bestand en vervolgens verschillende methoden uit te proberen om het .htaccess-bestand te bewerken.

Uitschakelen met behulp van het Ngnix-configuratiebestand

Voordat we u de stappen laten zien, volgt hier een disclaimer. Deze specifieke methode is alleen effectief als uw website wordt gehost op een Nginx-server.

Weet je niet zeker of je website op Nginx wordt gehost? Zo kom je erachter:

1. Klik met de rechtermuisknop ergens op uw website en selecteer vervolgens Inspecteren.

2. Ga naar Netwerk en u wordt gevraagd de website opnieuw te laden. Selecteer vervolgens Allemaal.

google chrome browser netwerkoptie — Fiding de netwerkoptie op uw Google Chrome

3. Er verschijnt een lijst met gegevens onder een sectie met de naam Naam. Klik op een van de gegevens en op het zijpaneel, ga naar koptekst en scroll naar beneden. Je zou de naam van uw server.

google chrome browser headers optie - wordpress xmlrpc uitschakelen — De server waarop uw website wordt gehost vinden met behulp van Google Chrome

Als uw site wordt gehost op Ngnix, gaat u verder met de volgende stap.

Open het Nginx-configuratiebestand en plaats de volgende code in het bestand:

location ~* ^/xmlrpc.php$ {
return 403;
}

Als u na het opslaan van de instellingen het XMLRPC-bestand opent vanaf de frontend van uw website, wordt er een 403-fout gegenereerd. Kijk zelf maar. Voeg gewoon /xmprpc.php toe aan het einde van uw website en druk op enter.

Uitschakelen met behulp van een filter

U kunt het XMLRPC-bestand uitschakelen door een plug-in te schrijven en vervolgens het volgende filter aan de plug-in toe te voegen en ervoor te zorgen dat de plug-in op uw website is geïnstalleerd en geactiveerd.

add_filter( 'xmlrpc_enabled', '__return_false' );

Zoals u begrijpt, is deze specifieke optie ideaal voor ontwikkelaars. Voor mensen met gewone technische vaardigheden raden we de bestandsopties config of .htaccess aan.

Niets werkte?

Als je de stappen hebt geprobeerd die we in dit artikel hebben getoond, maar niet de gewenste resultaten hebben bereikt, neem dan contact op met je hostingprovider. Ze zouden je moeten kunnen vertellen wat er mis gaat en hoe je XMLRPC op je WordPress-website kunt uitschakelen.

Gevolgtrekking

Als u XMLRPC uitschakelt, zorgt u ervoor dat uw website beveiligd is tegen bepaalde soorten hackaanvallen, zoals DDoS en brute force-aanvallen. Maar er zijn tal van andere manieren om uw website binnen te dringen, dus we raden u aan onze gids over WordPress-beveiliging te volgen om volledige bescherming van uw WordPress-site te garanderen.