WP Căn bản

Kiến thức căn bản cho người dùng WordPress

paradise-child-theme-wordpress-theme-tot-nhat
hosting-tot-nhat-danh-cho-wordpress

Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn

Trung Hiếu 16 Bình luận

Mục lục Hiện

Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn và tối ưu tốc độ load.

vo-hieu-hoa-xml-rpc-de-bao-mat-wordpress-tot-hon

WordPress sử dụng XML-RPC để cho phép người dùng thực hiện nhiều hoạt động trên blog/ website của họ từ xa. Nó cho phép bạn truy cập vào trang web của mình thông qua các ứng dụng di động dành riêng cho WordPress. Với XML-RPC, bạn cũng có thể đăng một bài viết trên blog (thông qua email hoặc ứng dụng) một cách dễ dàng. Chúng cũng được sử dụng để tạo trackback và pingback, cho phép bạn liên kết trang web của mình với các trang web thú vị khác. Tuy nhiên, nhiều cuộc tấn công WordPress hiện nay đang khai thác các tính năng của XML-RPC để chiếm quyền truy cập vào các trang web. Vì vậy, việc vô hiệu hóa các tính năng của XML-RPC khi không dùng đến là một ý tưởng không hề tồi để tăng cường khả năng bảo mật và tăng tốc độ load cho WordPress.

Tham khảo thêm:

Các phương thức tấn công qua XML-RPC

1. Brute-force Attack

Brute-force Attacks trong WordPress liên quan đến nỗ lực đăng nhập lặp đi lặp lại theo phương thức dò tên đăng nhập và mật khẩu ngẫu nhiên. Tuy nhiên, đăng nhập bằng cách sử dụng trang đăng nhập mặc định của WordPress (wp-login.php) có thể được bảo mật bằng nhiều cách. Không nản lòng bởi điều này, những kẻ tấn công đã tìm thấy một cách khác để phát động Brute-force Attack và rất khó để phát hiện, đó là sử dụng XML-RPC. Tất cả các yêu cầu XML-RPC đều được chứng thực để bạn có thể chỉnh sửa các trang web một cách an toàn. Những kẻ tấn công khai thác điều này để cố gắng tạo vô số các tổ hợp tên người dùng và mật khẩu cho đến khi chúng xâm nhập được vào trang web của bạn. Các phương pháp như giới hạn số lần đăng nhập thất bại và CAPTCHA chỉ có hiệu quả trong việc ngăn chặn những nỗ lực truy cập từ trang đăng nhập WordPress, chúng không thể bảo vệ bạn chống lại các cuộc tấn công thông qua XML-RPC.

2. DDoS

DDoS (Distributed Denial of Service) cũng là một phương thức tấn công có thể được thực hiện bằng cách khai thác các tính năng XML-RPC. Trên thực tế, nếu bạn đang kích hoạt tính năng pingbacks/ trackbacks, trang web của bạn có thể bị tấn công bởi một trang web khác ngay bây giờ và bạn thậm chí sẽ không hề hay biết về điều đó. Một kẻ tấn công duy nhất có thể sử dụng hàng ngàn trang web WordPress để khởi động một cuộc tấn công DDoS vào trang web của bạn với một yêu cầu (request) pingback đơn giản đến tập tin XML-RPC. Những yêu cầu gần như bất tận sẽ khiến các máy chủ web bị quá tải và làm trang web của bạn bị downtime hoặc thậm chí có thể dẫn đến crash máy chủ. Trong hầu hết các trường hợp, máy chủ web sẽ ngừng cung cấp dịch vụ cho bạn trước khi điều đó xảy ra.

Vô hiệu hóa XML-RPC nếu bạn không dùng đến

Một trong những cách đơn giản nhất để tự bảo vệ mình là vô hiệu hóa tính năng XML-RPC nếu bạn không dùng tới. Tuy nhiên, cũng không ít ứng dụng và plugin sử dụng XML-RPC cho hoạt động của mình, ví dụ như: WordPress Mobile App, Jetpack, LibSyn, BuddyPress… Do đó, bạn cần kiểm tra kỹ lưỡng trước khi quyết định vô hiệu hóa XML-RPC để tránh làm ảnh hưởng đến hoạt động của blog/ website.

1. Sử dụng plugin

Có rất nhiều plugin (BulletProof Security, Disable XML-RPC Remove XML-RPC Pingback Ping…) có thể giúp bạn làm điều này một cách dễ dàng. Bạn cũng có thể chỉ cần tắt một vài tính năng của XML-RPC. Ví dụ, plugin Disable XML-RPC Pingback có thể được sử dụng để chỉ tắt pingbacks trên trang web của bạn thay vì toàn bộ các tính năng XML-RPC. Ngoài ra, bạn cũng nên thiết lập thêm tường lửa để bảo vệ blog/ website chống lại Brute-force Attack và DDoS một cách tốt nhất .

Trong trường hợp bạn đang sử dụng plugin Jetpack, chỉ cần kích hoạt module Protect của plugin này lên là được. Jetpack vẫn hoạt động bình thường, trong khi blog/ website của bạn được bảo vệ an toàn trước nguy cơ tấn công qua XML-RPC.

2. Sử dụng code snippet

Chèn đoạn code sau đây vào file functions.php của theme hoặc child theme mà bạn đang sử dụng rồi lưu lại.

add_filter( 'xmlrpc_enabled', '__return_false' );

Sử dụng công cụ WordPress XML-RPC Validation Service để kiểm tra xem bạn đã vô hiệu hóa XML-RPC thành công hay chưa?

Truy cập Settings => Discussion, bỏ tick trong các mục Attempt to notify any blogs linked to from the article và Allow link notifications from other blogs (pingbacks and trackbacks) on new articles để vô hiệu hóa tính năng pingbacks và trackbacks.

tat-pingback-trong-wordpress

Thêm tiếp đoạn code sau đây vào file .htaccess trong thư mục gốc của WordPress để ngăn chặn việc truy cập trái phép file xmlrpc.php:

<Files xmlrpc.php>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
</IfModule>
</Files>

Bạn có đang sử dụng XML-RPC trên blog/ website của mình hay không? Bạn đã làm gì để chống lại các cuộc tấn công bảo mật thông qua phương thức này? Đừng quên chia sẻ ý kiến của bạn với chúng tôi trong khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)

Bài viết liên quan

Plugin chống copy nội dung siêu nhẹ cho WordPress
Plugin chống copy nội dung siêu nhẹ cho WordPress
Ra mắt plugin APCu Object Cache độc quyền tại WP Căn bản
Ra mắt plugin APCu Object Cache độc quyền tại WP Căn bản
Tính năng Crawl Optimization của plugin Yoast SEO
Tính năng Crawl Optimization của plugin Yoast SEO

Reader Interactions

Bình luận

    Để lại một bình luận

    Tất cả các bình luận đều sẽ được kiểm duyệt nghiêm ngặt. Mọi bình luận trái quy định sử dụng sẽ bị gỡ bỏ link hoặc xóa bỏ hoàn toàn. Vui lòng đọc kỹ quy định trước khi bình luận. Xin cảm ơn!

  1. Tôi không thể vào chỉnh sửa tệp wp-config.php trong cpanel là nguyên nhân vì sao hả bạn. Có cách nào khắc phục không?

    Bình luận

  2. Cám ơn Hiếu nhé! Mình dùng Wordfence thì thấy website của mình bị tấn công hơn 200 lần 1 ngày. Mà đa phần là tấn công vào XML-RPC.php . Thật là đáng sợ.

    Bình luận

      • Vậy nên dùng cái nào hả Hiếu?
        À, mỗi lần bình luận hay trả lời trên page của Hiếu lại phải nhập lại thông tin tên, email và trang web. Khá là mỏi tay!

        Bình luận

        • Mình thường dùng Defender Security hoặc Sucuri Security. Cái vụ nhập lại thông tin bình luận kia hình như là do tính năng cache của LiteSpeed. Mình đã loại trừ cookie của bình luận không hiểu sao vẫn dính. :P

          Bình luận

  3. Chuyện gì sẽ xảy ra nếu em xóa luôn file này đi ạ?
    Vì với em thấy nó hại hơn lợi ạ.

    Bình luận

    • Không nên xóa bạn nhé. Xóa file có thể gây lỗi hoặc gây ảnh hưởng đến hoạt động của các file khác trong mã nguồn WordPress.

      Bình luận

  4. Trang web wp của mình cài hocvps srip không có thư mục ( file .htaccess )
    Thì bây giờ phải tạo thư mục này phải ko a.

    Bình luận

  5. Bác gặp trường hợp Chia sẻ bài viết lên google + ko nhận ảnh và tiêu đề bài viết chưa ạ, facebook vẫn nhận bình thường nhưng google cứ lấy tiêu đề, url và ảnh của trang chủ cho tất cả các bài viết.
    rất cả các url các trang khác. blog totnhatvina và các them em sử dụng của mythemshop đều bị thế.

    Bình luận

Footer

Bài viết mới nhất

Bình luận mới nhất

Thống kê WP Căn bản

9 Chuyên mục - 1.001 Bài viết - 35.504 Bình luận