در این مقاله، ما توضیح خواهیم داد که فایل xmlrpc.php چیست.چگونه استفاده می شود. و چرا ممکن است لازم باشد آن را غیرفعال کنید. سپس به شما نشان خواهیم داد که چگونه آن را هم از طریق یک پلاگین و هم به صورت دستی غیر فعال کنید.
فایل xmlrpc.php چیست؟
XML-RPC یکی از ویژگی های موجود در وردپرس است که امکان انتقال، داده را فراهم می کند. از HTTP به عنوان مکانیسم انتقال و از XML به عنوان مکانیزم رمزگذاری استفاده می کند.
به زبان ساده ، xmlrpc.php به شما امکان می دهد به جای اینکه از طریق مرورگر به وب سایت خود دسترسی پیدا کنید. بتوانید از طریق نرم افزار مدیریت سفارشی و برنامه های تلفن همراه به وب سایت خود دسترسی پیدا کنید.
فایل xmlrpc.php چگونه استفاده می شود؟
اگر از فن آوری های ارتباط از راه دور و برنامه های تلفن همراه برای به روزرسانی سایت وردپرس خود استفاده نمی کنید ، ممکن است با XML-RPC آشنا نباشید.
می توانید با استفاده ازفایل xmlrpc.php ارتباط از راه دور با وردپرس خود برقرار کرده و بدون ورود مستقیم به پیشخوان وردپرس سایت خود آن را به روز رسانی کنید.
بیش از یک دهه پیش ، قبل از وردپرس 3.0 ، گزینه ای برای روشن یا خاموش کردن XML-RPC در داشبورد وردپرس وجود داشت.و زمانی که وردپرس برنامه آیفون خود را منتشر کرد ، این گزینه حذف شد. اکنون ، هنگام بارگیری وردپرس ، XML-RPC به طور خودکار فعال می شود.
با این حال ، هنوز هم ممکن است بخواهید خودتان آن را جهت امنیت سایت غیرفعال کنید.
چرا باید فایل xmlrpc.php را غیرفعال کنید؟
مشکل این است که xmlrpc.php خطر امنیتی دارد. این یک نقطه دسترسی اضافی به سایت شما ایجاد می کند ، که می تواند آن را در برابر حملات خارجی آسیب پذیر کند. هر بار که XML-RPC را احراز هویت می کنید ، باید نام کاربری و رمز عبور خود را وارد کنید. همانطور که می توانید تصور کنید ، این برای امنیت سایت اصلا ایده آل نیست. به عنوان مثال ، برای جلوگیری از حملات brute force ، باید تلاش برای ورود به سایت وردپرس خود را محدود کنید. در صورت فعال بودن aml-rpc این محدودیت قابل اعمال نیست و سایت می تواند به راحتی مورد حملات سایبری قرار گیرد .
با غیرفعال کردن این ویژگی ، شما می توانید دسترسی هکر ها را به صورت بالغوه از سایت خود قطع کنید. البته ، بدون XML-RPC ، دسترسی از راه دور امکان پذیر نیست. و برای انتشار و به روزرسانی باید مستقیماً وارد پیشخوان وردپرس شوید. بنابراین ، اگر برنامه های تلفن همراه و نرم افزارهای از راه دور روش هایی هستید که برای به روزرسانی سایت به آنها اعتماد می کنید ، خاموش کردن این ویژگی ممکن است یک گزینه عملی نباشد.
با این حال ، اگر امنیت اولویت اصلی شما باشد ، این ممکن است گامی مفید برای شما باشد. علاوه بر این ، اگر روزانه با کانکشن های راه دور سر وکارندارید احتمالاً با از بین رفتن این ویژگی ، در این شرایط ، شما چیزی برای از دست دادن ندارید و یک لایه امنیتی اضافی بدست خواهید آورد.
همانطور که در زیر بحث خواهیم کرد ، روشهای مختلفی وجود دارد که می توانید برای غیرفعال کردن xmlrpc.php استفاده کنید. به خاطر داشته باشید مهم نیست که غیرفعال کردن این ویژگی دائمی باشد. اگر لازم است ویژگی را دوباره روشن کنید ، می توانید به راحتی مراحل انجام داده شده را غیر فعال کنید تا مجددا این ویژگی فعال شود.
چگونه xmlrpc.php را با نصب پلاگین غیرفعال کنیم؟
اگر تصمیم به غیرفعال کردن XML-RPC گرفته اید ، یکی از ساده ترین روش هایی که می توانید استفاده نصب یک پلاگین اختصاصی است. این راه حل فقط به دو مرحله بسیار ساده نیاز دارد.
مرحله 1: پلاگین Disable XML-RPC را دانلود کنید.
این پلاگین با بیش از 100000 نصب فعال ، ابزاری دارای رتبه بندی عالی است که می توانید برای جلوگیری از دسترسی از راه دور به وردپرس استفاده کنید.
مانند اکثر پلاگین ، با جستجوی فهرست پلاگینهای وردپرس می توانید به سرعت این پلاگین را پیدا کنید:
همچنین می توانید با رفتن به Plugins> Add New و سپس جستجوی “Disable XML-RPC” ، آن را از طریق پیشخوان WordPress دانلود کنید.
مرحله 2: پلاگین را نصب و فعال کنید.
پس از دانلود پلاگین Disable XML-RPC آن را نصب و فعال کنید. پس از آن ، پلاگین به طور خودکار کد مورد نیاز برای غیرفعال کردن XML-RPC را وارد می کند.
برای فعال کردن دوباره این ویژگی ، تنها کاری که باید انجام دهید غیرفعال کردن این پلاگین است.
برخی از افزونه های موجود شما ممکن است از قسمت هایی از XML-RPC استفاده کنند ، بنابراین غیرفعال کردن کامل آن می تواند باعث اختلال شود. به عنوان مثال Jetpack برای برقراری ارتباط با سرور به XML-RPC نیاز دارد. بنابراین ، هوشمند است که پس از فعال کردن این افزونه سایت خود را کاملاً آزمایش کنید تا مطمئن شوید مشکلی در مورد ناسازگاری پلاگین ها وجود ندارد.
البته پلاگین های دیگری نیز وجود دارند که امکانات تفاوتی برای غیر فعال کردن xml-rpc در اختیارتان قرار می دهد برای مثال پلاگینی وجود دارد(Manage XML-RPC) که به شما اجازه خواهد داد که دسترسی به این فایل را برای ای پی خاصی غیر فعال کنید می توانید در سایت های راهنمای وردپرس در مورد این پلاگین ها بیشتر جستجو نمایید.
چگونه فایل xmlrpc.php را به صورت دستی غیرفعال کنیم
در صورتی که تمایل دارید فایل xmlrpc.php را برای افزایش امنیت سایت وردپرس خود صورت دستی غیر فعال کنید می توانید مراحل زیر را پیگیری کنید.
ابتدا فایل .htaccess خود را در پوشه اصلی سایت خود پیدا کرده و باز کنید.سپس کد زیر را در آن قرار دهید و فایل را ذخیره کنید.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 12.12.12.12
</Files>
اگر آدرس IP خاصی وجود دارد که می خواهید اجازه دسترسی xmlrpc.php را برای آن بدهید ، می توانید ای پی خود را جایگزین12.12.12.12 کنید. در غیر این صورت ، می توانید خط پنجم را به طور کامل حذف کنید.
دسترسی به فایل xmlrpd.php برای همه کاربران به غیر از ای پی که اعلام کردید غیر فعال شد.
بررسی و تایید تغییرات انجام شده
پس از غیر فعال کردن دسترسی به این فایل می توانید از طریق ابزار رایگان https://xmlrpc.eritreo.it/ چک کنید که ایا این فایل در سایت شما غیر فعال است یا خیر پس از وارد کردن نام سایت خود در سایت فوق باید پیغامی شبیه زیر در یافت کنید.
نظارت دوره ای بر دسترسی از راه دور به سایت وردپرس نیز توصیه می شود. اگر متوجه شدید که XML-RPC حتی پس از فعال کردن پلاگین یا وارد کردن کد به صورت دستی همچنان کار می کند ، ممکن است عملکرد پلاگین دیگری در سایت شما باعث قطع شدن فیلتر XML-RPC شده باشد که باید آن پلاگین پیدا و بررسی شود.
امیدواریم این مقاله به شما کمک کند و بتوانید موارد امنیتی که ممکن است از طریق این فایل در سایت وردپرسی شما ایجاد شود را کنترل کنید همچنین جهت راه اندازی یک سایت وردپرس بهتر است از هاست وردپرس که ویژه این سایت ها بهینه شده اند استفاده کنید تا سرعت و کیفیت بهتری را در سایت های خود تجربه نمایید.