Vô hiệu hóa XML-RPC trên WordPress

Giới thiệu

XML-RPC là gì?

XML-RPC là sử dụng giao thức WebService (soap) dùng XML để mã hóa và trao đổi dữ liệu (Remote Procedure Call XML) và có thể hỗ trợ các API của các CMS như WordPress API, Blogger API, ..Tính năng XML-RPC đã được bật mặc định trên WordPress kể từ phiên bản WordPress 3.5, và lý do chính cho việc này là cho phép ứng dụng di động WordPress giao tiếp với website WordPress của bạn.

Vì sao nên tắt XML-RPC?

XML-RPC có nhiều nhược điểm hơn là ưu điểm, việc bật XML-RPC có thể dẫn đến tiếp xúc các lỗ hổng bên trong website WordPress của bạn, và từ đó có thể trở thành mục tiêu tấn công của hacker thông qua một số kiểu tấn công cơ bản như DDoS sử dụng pingback XML-RPC , Brute force sử dụng XML-RPC. Do đó các bạn nên tắt XML-RPC để tăng tính bảo mật cho website của mình.

Hướng dẫn tắt XML-RPC

Cách 1: Tắt XML-RPC qua Plugin

Để tắt XML-RPC bạn chỉ cần cài đặt Plugin có hỗ trợ tắt XML-RPC là được, ở đây mình sử dụng Plugin iThemes Security.

Cài đặt Plugin xong, bạn vào Security >> Setting >> Advanced >> WORDPRESS TWEAKS >> Disable XML-RPC

Cách 2: Tắt XML-RPC qua .htaccess

Với cách tắt thông qua .htaccess, bạn chỉ cần mở file .htaccess nằm tại đường dẫn Document Root của website và chèn đoạn code bên dưới vào

# Disable XML-RPC
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
# Disable XML-RPC

Sau khi đã tắt XML-RPC bây giờ bạn có thể truy cập liên kết https:/xmlrpc.php để xem kết quả. Dưới đây là kết quả trước và sau khi chặn XML-RPC.

Chúc các bạn thực hiện thành công.!