Şu sıralar kafayı WordPress hız ve güvenliği ile bozmuş durumdayım. Zaten daha önceden de XML-RPC Açığı ile ilgili bir içerik kaleme almıştım. Ancak sitenin HTTP Header sorgusuna baktığımda, hâlâ X-Pingback olarak xmlrpc.php dosyasını görüntüledim. Yani temanızdan ne kadar kaldırırsanız kaldırın, devre dışı da bıraksanız, HTTP Header sorgularında bu uzantı görünmeye devam ediyor.
Bunun için bir yöntem buldum ve hemen sizlerle de paylaşmak istedim. Web sitenizde xmlrpc.php özelliğini devre dışı bıraktıktan ve temanızdaki tüm satırlardan kaldırdıktan sonra, HTTP sorgularından da kaldırmak için, aşağıdaki kodları değiştirmeden, temanızın functions.php dosyası içerisine eklemeniz yeterli olacaktır.
AYRICA: WordPress'te ".htaccess" Dosyası ile Güvenlik Önlemleri Almak
WordPress'te HTTP Header'dan "xmlrpc.php" Kaldırmak
function remove_x_pingback($headers) {
unset($headers['X-Pingback']);
return $headers;
}
add_filter('wp_headers', 'remove_x_pingback');
Önemli Ekleme: Buraya kadar bir sorun yok. WordPress ayarlarından da pingback v.b. tüm benzeri özellikleri kapatmış olabilirsiniz. Ancak araştırmalarıma göre bu da %100 bir çözüm sunmuyor. Bunun için aşağıdaki kodları da, temanızın functions.php dosyasına eklemenizi tavsiye ederiz. Bu şekilde "pingback" özelliği tamamen devre dışı kalacaktır. Ancak ilgili kodu, temanızı güncelleme olasılığınıza karşın, kaldırmamaya özen gösteriniz.
function disable_xmlrpc_ping ($methods) {
unset( $methods['pingback.ping'] );
return $methods;
}
add_filter( 'xmlrpc_methods', 'disable_xmlrpc_ping');
Sonuç: Bildiğiniz gibi, birçok kötü amacı olan insan tarafından xmlrpc.php özelliği suistimal edilerek, DDoS saldırıları amaçlı kullanılabiliyor. Dolayısı ile verdiğim kodları kullanarak, bu servisi tamamen devre dışı bırakmış olduk.
Sitenizin mevcut güvenliğini korumak ve hızınızı da korumak adına bu içeriğimdeki kodları kullanabilirsiniz. Ayrıca hemen şurada paylaştığım .htaccess güvenliği ile de, ilgili dosyaya erişimi tamamen engelleyebilirsiniz.
Yorum bulunmamaktadır.