V počátcích WordPressu existovaly funkce, které vám umožňovaly vzdálenou interakci s vaším webem. Tyto stejné vlastnosti umožnily vybudovat komunitu tím, že umožnily přístup dalším bloggerům váš blog. Hlavním nástrojem používaným k tomuto účelu je „ XML-RPC ".

« XML-RPC "Nebo" Vzdálený volání procedur XML Poskytuje WordPress velkou sílu:

  • Připojení k vašemu webu pomocí SmartPhone
  • TrackBacks a Pingbacks zapnuty váš blog
  • Pokročilé použití Jetpacku

Existuje však problém s „ XML-RPC “, kterou musíte vyřešit, abyste zachovali svou bezpečnost WordPress blog.

Jak se XML-RPC používá na WordPress

Vraťme se v prvních dnech blogování "(dobře před WordPress), většina autorů na internetu používá dial-up Chcete-li procházet web. Bylo těžké psát články a posílat je online. Řešením bylo psát do počítače offline a „ copy / paste Váš článek. Lidé, kteří tuto metodu použili, to považovali za zvláště obtížné, protože jejich text měl často cizí kódy, i když byl dokument uložen ve formátu HTML.

Blogger vytvořil rozhraní pro programování aplikací (API) umožnit dalším vývojářům přístup k blogům Blogger. Stačilo zadat název webu, který uživatelům umožňoval vytvářet články offline a poté se připojovat k API Blogger přes XML-RPC. Následovaly další systémy blogování a nakonec existoval MetaWeblogAPI, který standardně standardizoval přístup.

Po deseti letech je většina našich aplikací na našich telefonech a tabletech. Jednou z věcí, které lidé rádi dělají se svými telefony, je zveřejňování příspěvků na jejich WordPress blog. V letech 2008-09 byl Automattic nucen vytvořit aplikaci WordPress pro téměř každý mobilní operační systém (stejný Blackberry a Windows Mobile).

Tyto aplikace umožnily prostřednictvím rozhraní XML-RPC použít vaše přihlašovací údaje WordPress.com k připojení k webu WordPress, kde máte určitá přístupová práva.

Proč bychom měli zapomenout na XML-RPC?

Kompatibilita s XML-RPC Je součástí WordPressu od prvního dne. WordPress 2.6 byl vydán 15. července 2008 a aktivace „ XML-RPC Byl přidán do nastavení WordPress a výchozí nastavení je „ pryč ".

O týden později byla vydána verze WordPress pro iPhone a uživatelé byli požádáni o aktivaci této funkce. Čtyři roky poté, co se do rodiny přidala aplikace pro iPhone, WordPress 3.5 aktivoval „ XML-RPC ".

Hlavní slabiny spojené s XML-RPC jsou:

  • Útoky hrubou silou: Útočníci se pokoušejí přihlásit do WordPressu pomocí xmlrpc.php s tolika kombinacemi uživatelského jména a hesla. Neexistují žádná omezení testování. Metoda v xmlrpc.php umožňuje útočníkovi použít jeden příkaz (system.multicall) odhadnout stovky hesel.
  • Útoky odepření služby přes Pingback

Pohodlí vs. zabezpečení WordPress

Takže, jdeme znovu. Moderní svět je svými kompromisy hluboce nudný.

Pokud se chcete ujistit, že na vaši loď nikdo nepřinese bombu, stačí ji spustit detektory kovů. Chcete-li chránit své auto při nakupování, zamkněte dveře a zavřete okna. Nemůžete se spolehnout jen na to, že heslo webu chráníte (poskytují okna automobilu dostatečnou ochranu?), zejména pokud používáte Jetpack nebo mobilní aplikace.

Jak zakázat XML-RPC na WordPress

Takže jste se stali závislými na všech těchto nástrojích, které jsou zase závislé na XML-RPC. Chápu, že opravdu nechcete na chvíli vypnout „XML-RPC“.

Zde je však několik pluginů, které vám to pomohou:

REST (a OAuth) k záchraně

Nyní možná víte, že vývojáři WordPress se obracejí k řešení REST. Vývojáři týmu REST API měli několik problémů s přípravou, mimo jiné s ověřovací mincí určenou k vyřešení problému XML-RPC. Když je to konečně implementováno (aktuálně naplánováno pro WordPress 4.7 na konci 2016), nebudete muset používat XML-RPC pro připojení k softwaru, jako je JetPack.

Místo toho se ověříte pomocí protokolu OAuth. Pokud nevíte, co je protokol OAuth, pamatujte, co se stane, když vás web požádá o přihlášení pomocí služeb Google, Facebook nebo Twitter. Obecně se na těchto platformách používá protokol OAuth.

Test WordPress REST API

Jak jsem již řekl dříve, rozhraní REST API ještě není integrováno do jádra WordPressu a nebude to celé měsíce. Dnes jej můžete začít testovat ve svých testovacích prostředích:

Rest API bude určitě budoucností WordPressu. O tom druhém jsme již napsali několik tutoriálů, které vám poskytnou nápady, jak jej můžete začít implementovat:

To je pro tento tutoriál vše. Doufám, že budete lépe informováni o rizicích spojených s používáním XML-RPC. Neváhejte se nás zeptat na otázky v formulář komentáře.