WordPress の初期には、Web サイトをリモートで操作できる機能がありました。 これらと同じ特性により、他のブロガーがアクセスできるようにすることでコミュニティを構築することが可能になりました。 ブログ。 この目的で使用される主なツールは「 XML-RPC '。
« XML-RPC "、あるいは" XMLリモートプロシージャコール WordPressに大きな力を与えます:
- スマートフォンでサイトに接続する
- トラックバックとピンバック ブログ
- Jetpackの高度な使用
しかし、「に問題があります XML-RPC "、あなたのセキュリティを維持するために解決する必要があります WordPressのブログ.
WordPressでのXML-RPCの使用方法
の初期に戻りましょう ブログ 」(ワードプレスの前に長いです)、インターネット上のほとんどの著者が使用 ダイヤルアップ ウェブをサーフィンする。 記事を書いてオンラインで送信するのは困難でした。 解決策は、コンピューターにオフラインで書き込み、「 コピー機/コラー あなたの記事。 この方法を使用した人々は、文書がHTML形式で保存されていても、テキストに外国語コードが含まれていることが多いため、特に難しいことに気付きました。
Bloggerは、アプリケーションプログラミングインターフェイスを作成しました(API)他の開発者がBloggerブログにアクセスできるようにします。 Webサイトの名前を指定するだけで、ユーザーはオフラインで記事を作成し、XML-RPCを介してBloggerAPIに接続できます。 他のブログシステムもそれに続き、最終的にはデフォルトでアクセスを標準化するMetaWeblogAPIがありました。
XNUMX 年後、私たちのアプリケーションのほとんどは携帯電話やタブレットに搭載されています。 人々が自分の携帯電話でやりたいことの XNUMX つは、自分の携帯電話に投稿することです。 WordPressのブログ. 2008 年から 09 年にかけて、Automattic はほぼすべてのモバイル オペレーティング システム用の WordPress アプリケーションを作成することを余儀なくされました (同じBlackberryとWindows Mobile).
これらのアプリケーションでは、XML-RPCインターフェイスを介して、WordPress.comの資格情報を使用して、特定のアクセス権を持つWordPressサイトに接続できました。
XML-RPCを忘れる必要があるのはなぜですか?
との互換性 XML-RPC 初日からWordPressの一部です。 WordPress 2.6は15年2008月XNUMX日にリリースされ、「 XML-RPC WordPressの設定に追加され、デフォルトは「 オフ '。
3.5週間後、WordPress for iPhoneのバージョンがリリースされ、ユーザーはこの機能をアクティブにするように求められました。 iPhoneアプリがファミリーに加わってからXNUMX年後、WordPressXNUMXは「 XML-RPC '。
XML-RPCに関連する主な弱点は次のとおりです。
- ブルートフォース攻撃:攻撃者は、ユーザー名とパスワードの組み合わせがいくつでもあるxmlrpc.phpを使用してWordPressにログインしようとします。 テストの制限はありません。 xmlrpc.phpのメソッドを使用すると、攻撃者はXNUMXつのコマンドを使用できます(system.multicall)パスワードの数百人を推測します。
- Pingbackによるサービス拒否攻撃
利便性とWordPressセキュリティ
それで、また行きます。 現代の世界はその妥協点で深く退屈です。
誰もあなたのボートに爆弾を持ち込まないようにしたい場合は、金属製の検出器に爆弾を通過させるだけです。 ショッピング中に車を保護したい場合は、ドアをロックして窓を閉めてください。 あなたはそれを保護するためにウェブサイトのパスワードだけに頼ることはできません(車の窓は十分な保護を提供しますか?)、あなたはJetpackのか、モバイルアプリケーションを使用する場合は特に。
WordPressでXML-RPCを無効にする方法
したがって、XML-RPCに依存するこれらすべてのツールに依存するようになりました。 少しの間でも「XML-RPC」をオフにしたくないとのことですが。
ただし、これを行うのに役立つプラグインがいくつかあります。
- XML-RPCの攻撃を停止します :Jetpackおよびその他の自動ツールが.htaccessを介してxmlrpc.phpにアクセスすることのみを許可します。
- コントロールXML-RPCパブリッシング:古いリモート公開オプションを書き込みオプションに戻すだけです。
- iThemes Security, アンチマルウェアのセキュリティ & ブルートフォースファイアウォール et オールインワンWPセキュリティ&ファイアウォールこれらの汎用セキュリティツールには、無料バージョンのブルートフォース保護が含まれています。 彼らはxmlrpc.phpの有無にかかわらず、繰り返しログイン試行を監視し、サイトを破壊しようとしているクエリからあなたを保護します。
REST(およびOAuth)による救助
これで、WordPress開発者がRESTソリューションに目を向けていることがわかるかもしれません。 REST APIチームの開発者は、XML-RPCの問題を修正することを目的とした認証コインなど、準備にいくつかの問題がありました。 これが最終的に実装されたとき(現在、4.7の終わりにWordPress 2016が予定されています)、JetPackなどのソフトウェアと接続するためにXML-RPCを使用する必要はありません。
代わりに、OAuthプロトコルを介して認証します。 OAuthプロトコルが何であるかわからない場合は、WebサイトからGoogle、Facebook、またはTwitterでサインインするように求められたときに何が起こるかを覚えておいてください。 通常、これらのプラットフォームで使用されるプロトコルはOAuthです。
WordPress RESTAPIテスト
前に述べたように、REST APIはまだWordPressコアに統合されておらず、数か月間は統合されません。 今日、テスト環境でテストを開始できます。
RestAPIは間違いなくWordPressの未来になるでしょう。 後者については、実装を開始する方法についてのアイデアを提供するいくつかのチュートリアルをすでに作成しています。
このチュートリアルは以上です。 XML-RPC の使用に伴うリスクについて、より多くの情報が得られることを願っています。 でお気軽にご質問ください。 フォーム コメント。