• Trang chủ
  • WordPress
    • Thủ thuật WordPress
    • WordPress Plugins
    • WordPress Themes
  • Hosting và Domain
  • Kiếm tiền
  • Đánh giá
  • Khuyến mãi
  • Thông báo
  • Giới thiệu
  • Liên hệ

WP Căn bản

Kiến thức căn bản cho người dùng WordPress

paradise-child-theme-wordpress-theme-tot-nhat
  • Dịch vụ WordPress Hosting
  • Dịch vụ tối ưu WordPress
  • Dịch vụ quét mã độc WordPress
  • Mua Paradise child theme
Trang chủ » WordPress » Thủ thuật WordPress » Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn
hosting-tot-nhat-danh-cho-wordpress

Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn

Cập nhật: 19/06/2022 Trung Hiếu 16 Bình luận

Mục lục Hiện
  • 1. Các phương thức tấn công qua XML-RPC
    • 1.1. 1. Brute-force Attack
    • 1.2. 2. DDoS
  • 2. Vô hiệu hóa XML-RPC nếu bạn không dùng đến
    • 2.1. 1. Sử dụng plugin
    • 2.2. 2. Sử dụng code snippet

Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn và tối ưu tốc độ load.

vo-hieu-hoa-xml-rpc-de-bao-mat-wordpress-tot-hon

WordPress sử dụng XML-RPC để cho phép người dùng thực hiện nhiều hoạt động trên blog/ website của họ từ xa. Nó cho phép bạn truy cập vào trang web của mình thông qua các ứng dụng di động dành riêng cho WordPress. Với XML-RPC, bạn cũng có thể đăng một bài viết trên blog (thông qua email hoặc ứng dụng) một cách dễ dàng. Chúng cũng được sử dụng để tạo trackback và pingback, cho phép bạn liên kết trang web của mình với các trang web thú vị khác. Tuy nhiên, nhiều cuộc tấn công WordPress hiện nay đang khai thác các tính năng của XML-RPC để chiếm quyền truy cập vào các trang web. Vì vậy, việc vô hiệu hóa các tính năng của XML-RPC khi không dùng đến là một ý tưởng không hề tồi để tăng cường khả năng bảo mật và tăng tốc độ load cho WordPress.

Tham khảo thêm:

  • Vô hiệu hóa RSS Feed trong WordPress một cách đơn giản
  • Hướng dẫn vô hiệu hóa Embed Script trong WordPress

Các phương thức tấn công qua XML-RPC

1. Brute-force Attack

Brute-force Attacks trong WordPress liên quan đến nỗ lực đăng nhập lặp đi lặp lại theo phương thức dò tên đăng nhập và mật khẩu ngẫu nhiên. Tuy nhiên, đăng nhập bằng cách sử dụng trang đăng nhập mặc định của WordPress (wp-login.php) có thể được bảo mật bằng nhiều cách. Không nản lòng bởi điều này, những kẻ tấn công đã tìm thấy một cách khác để phát động Brute-force Attack và rất khó để phát hiện, đó là sử dụng XML-RPC. Tất cả các yêu cầu XML-RPC đều được chứng thực để bạn có thể chỉnh sửa các trang web một cách an toàn. Những kẻ tấn công khai thác điều này để cố gắng tạo vô số các tổ hợp tên người dùng và mật khẩu cho đến khi chúng xâm nhập được vào trang web của bạn. Các phương pháp như giới hạn số lần đăng nhập thất bại và CAPTCHA chỉ có hiệu quả trong việc ngăn chặn những nỗ lực truy cập từ trang đăng nhập WordPress, chúng không thể bảo vệ bạn chống lại các cuộc tấn công thông qua XML-RPC.

2. DDoS

DDoS (Distributed Denial of Service) cũng là một phương thức tấn công có thể được thực hiện bằng cách khai thác các tính năng XML-RPC. Trên thực tế, nếu bạn đang kích hoạt tính năng pingbacks/ trackbacks, trang web của bạn có thể bị tấn công bởi một trang web khác ngay bây giờ và bạn thậm chí sẽ không hề hay biết về điều đó. Một kẻ tấn công duy nhất có thể sử dụng hàng ngàn trang web WordPress để khởi động một cuộc tấn công DDoS vào trang web của bạn với một yêu cầu (request) pingback đơn giản đến tập tin XML-RPC. Những yêu cầu gần như bất tận sẽ khiến các máy chủ web bị quá tải và làm trang web của bạn bị downtime hoặc thậm chí có thể dẫn đến crash máy chủ. Trong hầu hết các trường hợp, máy chủ web sẽ ngừng cung cấp dịch vụ cho bạn trước khi điều đó xảy ra.

Vô hiệu hóa XML-RPC nếu bạn không dùng đến

Một trong những cách đơn giản nhất để tự bảo vệ mình là vô hiệu hóa tính năng XML-RPC nếu bạn không dùng tới. Tuy nhiên, cũng không ít ứng dụng và plugin sử dụng XML-RPC cho hoạt động của mình, ví dụ như: WordPress Mobile App, Jetpack, LibSyn, BuddyPress… Do đó, bạn cần kiểm tra kỹ lưỡng trước khi quyết định vô hiệu hóa XML-RPC để tránh làm ảnh hưởng đến hoạt động của blog/ website.

1. Sử dụng plugin

Có rất nhiều plugin (BulletProof Security, Disable XML-RPC,  Remove XML-RPC Pingback Ping…) có thể giúp bạn làm điều này một cách dễ dàng. Bạn cũng có thể chỉ cần tắt một vài tính năng của XML-RPC. Ví dụ, plugin Disable XML-RPC Pingback có thể được sử dụng để chỉ tắt pingbacks trên trang web của bạn thay vì toàn bộ các tính năng XML-RPC. Ngoài ra, bạn cũng nên thiết lập thêm tường lửa để bảo vệ blog/ website chống lại Brute-force Attack và DDoS một cách tốt nhất .

Trong trường hợp bạn đang sử dụng plugin Jetpack, chỉ cần kích hoạt module Protect của plugin này lên là được. Jetpack vẫn hoạt động bình thường, trong khi blog/ website của bạn được bảo vệ an toàn trước nguy cơ tấn công qua XML-RPC.

2. Sử dụng code snippet

Chèn đoạn code sau đây vào file functions.php của theme hoặc child theme mà bạn đang sử dụng rồi lưu lại.

add_filter( 'xmlrpc_enabled', '__return_false' );

Sử dụng công cụ WordPress XML-RPC Validation Service để kiểm tra xem bạn đã vô hiệu hóa XML-RPC thành công hay chưa?

Truy cập Settings => Discussion, bỏ tick trong các mục Attempt to notify any blogs linked to from the article và Allow link notifications from other blogs (pingbacks and trackbacks) on new articles để vô hiệu hóa tính năng pingbacks và trackbacks.

tat-pingback-trong-wordpress

Thêm tiếp đoạn code sau đây vào file .htaccess trong thư mục gốc của WordPress để ngăn chặn việc truy cập trái phép file xmlrpc.php:

<Files xmlrpc.php>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
</IfModule>
</Files>

Bạn có đang sử dụng XML-RPC trên blog/ website của mình hay không? Bạn đã làm gì để chống lại các cuộc tấn công bảo mật thông qua phương thức này? Đừng quên chia sẻ ý kiến của bạn với chúng tôi trong khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)

  • Chia sẻ lên Facebook
  • Chia sẻ lên Twitter
  • Chia sẻ lên LinkedIn

Bài viết liên quan

Plugin chống copy nội dung siêu nhẹ cho WordPress
Plugin chống copy nội dung siêu nhẹ cho WordPress
Ra mắt plugin APCu Object Cache độc quyền tại WP Căn bản
Ra mắt plugin APCu Object Cache độc quyền tại WP Căn bản
Tính năng Crawl Optimization của plugin Yoast SEO
Tính năng Crawl Optimization của plugin Yoast SEO

Chuyên mục: Thủ thuật WordPress Thẻ: Bảo mật WordPress/ Tăng tốc WordPress

dich-vu-wordpress-hosting-chong-ddos-mien-phi

Nói về Trung Hiếu

Một người con của xứ Nghệ, hiện đang sinh sống tại Hà Nội. Tôi là người sáng lập và đứng sau mọi hoạt động của WP Căn bản. Tìm hiểu thêm về tôi tại đây.

Bài viết trước « Đổi link đăng nhập WordPress giúp tăng cường bảo mật
Bài viết sau Giải đáp các thắc mắc về mã PIN của Google AdSense »

Reader Interactions

Bình luận

    Để lại một bình luận Hủy

    Tất cả các bình luận đều sẽ được kiểm duyệt nghiêm ngặt. Mọi bình luận trái quy định sử dụng sẽ bị gỡ bỏ link hoặc xóa bỏ hoàn toàn. Vui lòng đọc kỹ quy định trước khi bình luận. Xin cảm ơn!

  1. Tuyến 1 bình luậnviết

    19/06/2022 lúc 14:34

    Tôi không thể vào chỉnh sửa tệp wp-config.php trong cpanel là nguyên nhân vì sao hả bạn. Có cách nào khắc phục không?

    Bình luận
    • Trung Hiếu Quản lýviết

      19/06/2022 lúc 14:35

      Bạn kiểm tra xem permission của file wp-config.php đã được thiết lập là 644 chưa nhé.

      Bình luận
  2. Nguyễn Quốc Hùng 151 bình luậnviết

    06/03/2020 lúc 13:21

    Cám ơn Hiếu nhé! Mình dùng Wordfence thì thấy website của mình bị tấn công hơn 200 lần 1 ngày. Mà đa phần là tấn công vào XML-RPC.php . Thật là đáng sợ.

    Bình luận
    • Trung Hiếu Quản lýviết

      06/03/2020 lúc 13:55

      Nói thật lòng là đừng dùng Wordfence, nặng lắm. :P

      Bình luận
      • Nguyễn Quốc Hùng 151 bình luậnviết

        06/03/2020 lúc 15:19

        Vậy nên dùng cái nào hả Hiếu?
        À, mỗi lần bình luận hay trả lời trên page của Hiếu lại phải nhập lại thông tin tên, email và trang web. Khá là mỏi tay!

        Bình luận
        • Trung Hiếu Quản lýviết

          06/03/2020 lúc 16:10

          Mình thường dùng Defender Security hoặc Sucuri Security. Cái vụ nhập lại thông tin bình luận kia hình như là do tính năng cache của LiteSpeed. Mình đã loại trừ cookie của bình luận không hiểu sao vẫn dính. :P

          Bình luận
  3. Sơn Nguyễn 10 bình luậnviết

    06/07/2019 lúc 02:27

    Chuyện gì sẽ xảy ra nếu em xóa luôn file này đi ạ?
    Vì với em thấy nó hại hơn lợi ạ.

    Bình luận
    • Trung Hiếu Quản lýviết

      06/07/2019 lúc 06:10

      Không nên xóa bạn nhé. Xóa file có thể gây lỗi hoặc gây ảnh hưởng đến hoạt động của các file khác trong mã nguồn WordPress.

      Bình luận
  4. Chu nam 4 bình luậnviết

    04/09/2018 lúc 16:07

    Trang web wp của mình cài hocvps srip không có thư mục ( file .htaccess )
    Thì bây giờ phải tạo thư mục này phải ko a.

    Bình luận
    • Trung Hiếu Quản lýviết

      04/09/2018 lúc 17:52

      HocVPS chạy web server NginX nên không hỗ trợ file .htaccess đâu bạn.

      Bình luận
  5. Minh Khánh 115 bình luậnviết

    07/06/2018 lúc 14:01

    Bác gặp trường hợp Chia sẻ bài viết lên google + ko nhận ảnh và tiêu đề bài viết chưa ạ, facebook vẫn nhận bình thường nhưng google cứ lấy tiêu đề, url và ảnh của trang chủ cho tất cả các bài viết.
    rất cả các url các trang khác. blog totnhatvina và các them em sử dụng của mythemshop đều bị thế.

    Bình luận
    • Trung Hiếu Quản lýviết

      08/06/2018 lúc 09:16

      Mình test thử mấy bài viết trên site của bạn thấy hiển thị bình thường mà. Bài nào hiển thị thông tin của bài đấy. :P

      Bình luận
      • Minh Khánh 115 bình luậnviết

        08/06/2018 lúc 11:10

        Chả nhẽ máy em bị bệnh gì ta, hix

        Bình luận
        • Trung Hiếu Quản lýviết

          08/06/2018 lúc 11:58

          Thử với máy khác xem sao. :P

          Bình luận
  6. Cung Lap Trinh 6 bình luậnviết

    13/01/2018 lúc 21:46

    Lần đầu tiên nghe về XML-RPC. :) Thanks anh, bài viết rất chi tiết

    Bình luận
  7. Tori Tran 1 bình luậnviết

    20/07/2015 lúc 00:33

    chi tiết về XML-RPC quá, cảm ơn nhiều

    Bình luận

Sidebar chính

NHẬN BÀI VIẾT QUA EMAIL

Hãy đăng ký ngay để là người đầu tiên nhận được thông báo qua email mỗi khi chúng tôi có bài viết mới!

Tham gia cùng 10.000+ người khác.

Theo dõi qua mạng xã hội

Facebook Group

wpcanban-facebook-group

Bạn đang tìm gì?

WordPress căn bản

Bảo mật WordPress

Tăng tốc WordPress

Sửa lỗi WordPress

Thủ thuật Genesis

Thủ thuật SEO

Thủ thuật CloudFlare

Thủ thuật LiteSpeed

Thủ thuật WooCommerce

Sử dụng theme Paradise

Dịch vụ tối ưu WordPress miễn phí

dich-vu-toi-uu-wordpress-mien-phi

Dịch vụ quét mã độc miễn phí

dich-vu-quet-ma-doc-wordpress-mien-phi

Footer

Bài viết mới nhất

  • Plugin chống copy nội dung siêu nhẹ cho WordPress 20/05/2025
  • Tự động tạo alt-text cho hình ảnh trong WordPress 18/05/2025
  • Năm 2025 rồi, có nên viết blog nữa không? 07/05/2025
  • Ra mắt plugin APCu Object Cache độc quyền tại WP Căn bản 16/04/2025

Bình luận mới nhất

  • Trung Hiếu trong Bật mí về các công nghệ mà WP Căn bản đang sử dụng
  • Khánh trong Bật mí về các công nghệ mà WP Căn bản đang sử dụng
  • Trung Hiếu trong Năm 2025 rồi, có nên viết blog nữa không?
  • Tuấn Kỷ Nguyên Blog trong Năm 2025 rồi, có nên viết blog nữa không?

Thông tin hữu ích

  • Giới thiệu bản thân
  • Quy định sử dụng
  • Chính sách bảo mật
  • Bản quyền nội dung

Thống kê WP Căn bản

9 Chuyên mục - 1.001 Bài viết - 35.504 Bình luận

Bản quyền © 2014 - 2025 · WP Căn bản (tiền thân là eBooksvn.com) · Sử dụng Paradise child theme và dịch vụ WordPress Hosting