V začiatkoch WordPressu existovali funkcie, ktoré vám umožňovali komunikovať s vašimi webovými stránkami na diaľku. Rovnaké vlastnosti umožnili vybudovať komunitu tým, že umožnili prístup iným blogerom váš blog. Hlavným nástrojom používaným na tento účel je „ XML-RPC ".
« XML-RPC "Alebo" Diaľkové procedurálne volanie XML Poskytuje WordPress veľkú moc:
- Pripája sa na vaše stránky pomocou SmartPhone
- Trackbacks a Pingbacks zapnuté váš blog
- Pokročilé použitie Jetpacku
Existuje však problém s „ XML-RPC “, ktorý musíte vyriešiť, aby ste zachovali svoju bezpečnosť WordPress blog.
Ako sa XML-RPC používa na WordPress
Vráťme sa v prvých dňoch blogovanie "(ešte pred WordPressom), používa väčšina autorov na internete dial-up Ak chcete surfovať na webe. Bolo ťažké písať články a posielať ich online. Riešením bolo zapisovať do počítača offline a „ kopírka / Coller Váš článok. Ľudia používajúci túto metódu to považovali za obzvlášť ťažké, pretože ich text mal často cudzie kódy, aj keď bol dokument uložený vo formáte HTML.
Blogger vytvoril aplikačné programovacie rozhranie (API) umožňujúci ďalším vývojárom prístup k blogom služby Blogger. Stačilo špecifikovať názov webu, ktorý používateľom umožňoval vytvárať články offline a potom sa pripájať k API Blogger cez XML-RPC. Nasledovali ďalšie systémy blogovania a nakoniec existovalo MetaWeblogAPI, ktoré štandardne štandardizovalo prístup.
Po desiatich rokoch je väčšina našich aplikácií v telefónoch a tabletoch. Jednou z vecí, ktoré ľudia radi robia so svojimi telefónmi, je uverejňovanie príspevkov na nich WordPress blog. V rokoch 2008-09 bol Automattic nútený vytvoriť aplikáciu WordPress pre takmer každý mobilný operačný systém (rovnaké Blackberry a Windows Mobile).
Tieto aplikácie umožnili prostredníctvom rozhrania XML-RPC použiť vaše poverenia WordPress.com na pripojenie k webu WordPress, kde máte určité prístupové práva.
Prečo by sme mali zabudnúť na XML-RPC?
Zlučiteľnosť s XML-RPC Od prvého dňa je súčasťou WordPress. WordPress 2.6 bol vydaný 15. júla 2008 a aktivácia „ XML-RPC Bol pridaný do nastavení WordPress a predvolene je nastavený na „ zľava ".
O týždeň neskôr bola vydaná verzia WordPress pre iPhone a používatelia boli požiadaní o aktiváciu tejto funkcie. Štyri roky potom, čo sa do rodiny pridala aplikácia pre iPhone, WordPress 3.5 aktivoval „ XML-RPC ".
Hlavné slabiny spojené s XML-RPC sú:
- Útoky hrubou silou: Útočníci sa snažia prihlásiť do WordPress pomocou súboru xmlrpc.php s toľkými kombináciami používateľského mena a hesla. Neexistujú žiadne testovacie obmedzenia. Metóda v xmlrpc.php umožňuje útočníkovi použiť jeden príkaz (system.multicall) hádať stovky hesiel.
- Útoky odmietnutia služby cez Pingback
Pohodlie verzus zabezpečenie WordPress
Takže sme tu znova. Moderný svet je so svojimi kompromismi veľmi nudný.
Ak sa chcete ubezpečiť, že na vašu loď nikto neprináša bombu, jednoducho ju spustíte cez detektory kovov. Ak chcete chrániť svoje auto pri nakupovaní, zamknite dvere a zatvorte okná. Nemôžete sa spoliehať len na to, že heslo webovej stránky ho ochrániš (poskytujú okná automobilov dostatočnú ochranu?), najmä ak používate službu Jetpack alebo mobilné aplikácie.
Ako zakázať XML-RPC na WordPress
Takže ste sa stali závislými na všetkých týchto nástrojoch, ktoré sú zase závislé od XML-RPC. Chápem, že skutočne nechcete vypnúť program „XML-RPC“ ani na malú chvíľu.
Tu je však niekoľko doplnkov, ktoré vám v tom pomôžu:
- Zastaviť útok XML-RPC : umožňuje iba Jetpacku a ďalším automatickým nástrojom prístup k xmlrpc.php cez .htaccess.
- Riadenie publikovania XML-RPC: jednoducho vráti starú možnosť vzdialeného publikovania späť na možnosti zápisu.
- iThemes Security, Zabezpečenie proti malwaru a Brute-Force Firewall et Všetko v jednom Zabezpečenie WP a brána firewallMedzi tieto bezpečnostné nástroje na všeobecné použitie patrí ochrana brutto sily v bezplatných verziách. Sledujú opakované pokusy o prihlásenie s xmlrpc.php alebo bez neho a chránia vás pred dopytmi, ktoré sa snažia prerušiť váš web.
REST (a OAuth) k záchrane
Teraz možno viete, že vývojári WordPressu prechádzajú na riešenie REST. Vývojári v tíme REST API mali niekoľko problémov s prípravou, okrem iného s autentifikačnou mincou určenou na vyriešenie problému s XML-RPC. Keď sa to konečne implementuje (aktuálne naplánované pre WordPress 4.7 na konci 2016), nebudete musieť používať XML-RPC na spojenie so softvérom ako JetPack.
Namiesto toho sa autentifikujete prostredníctvom protokolu OAuth. Ak neviete, čo je protokol OAuth, nezabudnite, čo sa stane, keď vás web požiada o prihlásenie pomocou služieb Google, Facebook alebo Twitter. Vo všeobecnosti sa na týchto platformách používa protokol OAuth.
Test WordPress REST API
Ako som už uviedol skôr, rozhranie REST API ešte nie je integrované do jadra WordPressu a nebude to celé mesiace. Dnes ho môžete začať testovať na svojich testovacích prostrediach:
Rest API bude určite budúcnosťou WordPressu. O tom druhom sme už napísali niekoľko návodov, ktoré vám poskytnú nápady, ako ho môžete začať implementovať:
- Ako zistiť, kedy sa má použiť rozhranie Rest API
- Ako používať Rest API
- 7 efektívnych implementácií Rest API
- Ako používať WordPress HTTP API
To je pre tento tutoriál všetko. Dúfam, že budete lepšie informovaní o rizikách spojených s používaním XML-RPC. Neváhajte nám položiť otázky v formulár komentáre.
