Служба XML-RPC была отключена по-умолчанию на длительное время по соображениям безопасности. В WordPress 3.5 ситуация изменилась. XML-RPC был включен по-умолчанию, а возможность отключить его из административной панели WordPress была убрана. В сегодняшней статье мы покажем вам как отключить XML-RPC в WordPress и поговорим о том, стоит ли оставлять ее включенной.
Что такое XML-RPC?
Согласно Wikipedia, XML-RPC — это удаленный вызов процедур, который использует XML для шифрования своих вызовов и HTTP в качестве «механизма доставки». Вкратце, это система, которая позволяет вам осуществлять публикацию контента в свой блог WordPress с помощью клиентов для блоггинга вроде Windows Live Writer. Также функция может понадобиться, если вы используете мобильное приложение WordPress. Еще один вариант использования — для подключения сервисов вроде IFTTT.
Если вам нужно получить доступ и удаленно осуществлять публикации в блог, то XML-RPC должен быть включен.
В прошлом были проблемы с безопасностью в XML-RPC и именно поэтому его отключили по-умолчанию. В своем комментарии в треке #21509, @nacin, один из разработчиков ядра WordPress, сказал:
Quite a bit has changed since we introduced off-by-default for XML-RPC. Their code has improved, and it is no longer considered a second-class citizen when it comes to API development, thanks to the work of a large team of awesome contributors. Security is no greater a concern than the rest of core.
There is no longer a compelling reason to disable this by default. It’s time we should remove the option entirely.
В двух словах, теперь дырок в безопасности нет и протокол можно включить по-умолчанию.
С распространением мобильных, это изменение было неизбежным. Однако, некоторые осторожные в плане безопасноти люди могут сказать, что пусть и XML-RPC стал менее «опасным», но он все также представляет собой «дырку» для возможных атак и поэтому держать его выключенным более рационально.
Для того, чтобы сделать всех счастливыми, в виду отсутствия в интерфейсе и в базе данных опция для отключения XML-RPC, остался фильтр, который можно использовать для отключения XML-RPC
Как отключить XML-RPC в WordPress 3.5 и выше
Все, что нужно сделать, это добавить следующий код в файл functions.php вашей темы или в плагин для сайта WordPress:
add_filter('xmlrpc_enabled', '__return_false');
В качестве альтернативы можно просто установить плагин под названием Disable XML-RPC. После установки нужно всего лишь активировать его. Делает он ровно то же, что и код выше.
В виду того, что мы не используем мобильные приложения или удаленные подключения для публикации в WPinCode, мы отключили XML-RPC.
По всем вопросам и отзывам просьба писать в комментарии ниже.
Не забывайте, по возможности, оценивать понравившиеся записи количеством звездочек на ваше усмотрение.
