با توجه به لزوم ایمنسازی سرویسهای اینترنتی، مدیران سایتها موظف به افزایش
ایمنی وبسایتها در برابر مهاجمان و حملات سایبری میباشند.
همانگونه که مستحضر هستید پرتال wordpress یکی از محبوبترین نرمافزارهای
متنباز مدیریت محتواست و به دلیل متنباز بودن بهصورت پیشفرض نقاط آسیبپذیری
بیشتری دارد که امکان نفوذ و سوءاستفاده مهاجمان را فراهم میسازد، ازاینرو
انتظار میرود
در صورت استفاده از این پرتال نسبت به امن سازی آن اقدام فرمایید. لذا مرکز داده
تبیان جهت کمک به مشتریان در خصوص برطرف نمودن یکی از این نقاط آسیبپذیری
(XML-RPC API) راهکار زیر را ارائه میدهد:
XML-RPC API امکان برقراری وبسایت شما بهصورت ریموت با سایر وبسایتها و
برنامهها را فراهم میسازد. در صورت عدم ایمنسازی این سرویس، این قابلیت تبدیل
به نقطه آسیبپذیری XML-RPC Pingback Attack میشود. در حقیقت هدف اصلی XML-RPC
Pingback امکان لینک کردن محتوای تولیدشده است اما ممکن است از آن برای حمله از
نوع DDOS به سایتهای دیگر و یا حتی ایجاد بازدید جعلی استفاده شود. شایان ذکر
است این آسیب پذیری می تواند منجر به افزایش ترافیک دریافتی شما گردد.
برای غیرفعال کردن آن روشهای متعددی وجود دارد، حتی برای آن افزونه ایجادشده است
(برای اطلاعات بیشتر به این لینک مراجعه نمایید:
https://wordpress.org/plugins/prevent-xmlrpc)؛ اما شما بهراحتی میتوانید آن
را در فایل.htaccess در مسیری که WordPress نصبشده است مسدود نمایید. برای این
کار کافی است تنظیمات زیر را در فایل .htaccess اضافه نمایید:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
اما اگر سرویس دیگری دارید که با فایل مذکور کار میکند میتوانید با اضافه کردن
تنظیم زیر آن را مجاز نمایید، آدرس IP سرور موردنظر را جایگزین [IP] نمایید.
allow from [IP]
پیشاپیش از همکاری شما سپاسگزاریم
گروه امنیت مرکز داده اینترنتی تبیان