Cum se dezactivează XML-RPC în WordPress

Come disabilitare XML-RPC in WordPress

⌛ Reading Time: 5 minutes

WordPress XML-RPC è una funzionalità piuttosto datata integrata nel CMS di WordPress. È un mezzo per standardizzare le comunicazioni tra un sito WordPress e altre tecnologie web o mobili. Se sei un utente WordPress, questo tutorial ti dirà cos’è XML-RPC e perché è una buona idea disabilitarlo per proteggerti.

Come funziona XML-RPC

Il tuo sito Web WordPress è progettato per funzionare sul Web. Utilizza tecnologie web di base come HTML, CSS e PHP. Tutti questi file sono ben nascosti in cartelle all’interno del tuo server di hosting.

Quando un visitatore fa clic sul tuo nome di dominio o su uno dei suoi derivati, arriva sulla tua pagina web. La cartella specifica contenente le informazioni che desiderano vengano scaricate nel browser. Ora il browser interpreta queste informazioni e le mostra loro.

Ma cosa succede se non vuoi accedere al tuo sito web utilizzando un browser? Cosa succede se si desidera accedervi da un software di amministrazione personalizzato o anche da un’applicazione mobile?

L’XML-RPC di WordPress copre questo problema.

XML-RPC è un’API che racchiude le informazioni essenziali all’interno di un semplice file XML e le invia all’app mobile o al software remoto. L’applicazione mobile quindi gonfia queste informazioni con il proprio design preconfigurato. L’app mobile in questo caso non ha più bisogno di scaricare file di pagine Web sostanziali e puoi ancora accedere ai tuoi dati in un’app elegante.

Per quanto possa sembrare, l’unico problema è che dovrai inviare il tuo nome utente e password ogni volta che vuoi autenticarti tramite XML-RPC. Questo lo rende molto vulnerabile agli attacchi di un hacker.

In che modo XML-RPC ti rende vulnerabile

XML-RPC rende il tuo sito vulnerabile agli attacchi in almeno due modi: attacchi di forza bruta e furto delle credenziali di accesso.

1. Attacchi di forza bruta

Gli aggressori tentano di infettare il tuo sito web utilizzando un attacco di forza bruta.

what-is-xmlrpc-brute-force-attack

Un attacco di forza bruta è semplicemente un gioco d’ipotesi. L’aggressore tenta di indovinare la tua password più e più volte fino a quando non riesce.

Succede diverse migliaia di volte al secondo in modo che possano provare milioni di combinazioni in un breve periodo.

Su un sito WordPress puoi facilmente limitare gli attacchi di forza bruta limitando i tentativi di accesso per il tuo sito web. Tuttavia, il problema con XML-RPC è che non limita i tentativi di accesso al tuo sito.

Un utente malintenzionato può continuare a indovinare ingannando il tuo server di essere un amministratore che cerca di recuperare alcune informazioni. E poiché non hanno le credenziali corrette, non sono ancora in grado di accedere al tuo sito, quindi continuano a provare più volte senza fine.

Poiché non c’è limite al numero di prove, è solo una questione di tempo prima che ottengano l’accesso. In questo modo un hacker può anche facilmente far cadere un sito eseguendo un attacco DDOS XML-RPC (inviando ondate di richieste “pingback” a XML-RPC per sovraccaricare e mandare in crash il server).

2. Intercettazione / furto delle informazioni di accesso

what-is-xmlrpc-login-intercettazione

Un altro punto debole dell’XML-RPC è il sistema di autenticazione inefficiente. Ogni volta che invii una richiesta per accedere al tuo sito web, devi inviare anche le tue credenziali di accesso. Ciò significa che il tuo nome utente e password sono esposti.

Gli hacker potrebbero essere in agguato dietro l’angolo per intercettare questo pacchetto di informazioni. Una volta che hanno successo, non hanno più bisogno di affrontare i rigori degli attacchi di forza bruta. Semplicemente entrano nel tuo sito web usando le tue credenziali valide.

Devo disabilitare XML-RPC in WordPress?

Dalla versione 3.5 di WordPress, ci sono stati così tanti miglioramenti al codice XML-RPC che il team di WordPress lo ha ritenuto abbastanza sicuro da essere abilitato per impostazione predefinita. Se ti affidi ad app mobili o software remoto per gestire il tuo sito WordPress, probabilmente non dovresti disabilitare XML-RPC.

Se sei molto consapevole della sicurezza del tuo server, potrebbe essere meglio disabilitarlo poiché ha coperto un possibile modo che gli hacker possono utilizzare per attaccare il tuo sito.

Come disabilitare XML-RPC in WordPress

XML-RPC è abilitato per impostazione predefinita in WordPress, ma ci sono diversi modi per disabilitarlo.

Nota: se stai usando il popolare plugin JetPack, non puoi disabilitare XML-RPC, poiché è necessario per Jetpack per comunicare con il server. Inoltre, prima di disabilitare XML-RPC, assicurati che nessuno dei tuoi plugin o temi lo stia utilizzando.

Disabilitazione di XML-RPC

1. Individua la cartella del tema (di solito in “wp-content / themes /”) e apri il file “functions.php”.

2. Incolla i seguenti comandi alla fine del file:

Salvare il file “functions.php”. Questo disattiverà la funzionalità XML-RPC in WordPress. Tieni presente che questo metodo disabilita solo XML-RPC, ma non impedisce agli hacker di attaccare il tuo sito poiché il file xml-rpc.php è in giro.

Blocco dell’accesso al file XML-RPC

Il modo migliore per impedire agli hacker di attaccare è bloccare l’accesso al file xml-rpc.

Server Apache

Se il tuo sito WordPress è in esecuzione su un server Apache (se vedi un file “.htaccess” nella cartella di installazione di WordPress, puoi essere abbastanza sicuro che il tuo sito è ospitato su un server Apache), segui questi passaggi.

1. Accedi al tuo CPanel. Cerca File Manager.

what-is-xmlrpc-cpanel-login

2. Apri il file manager. Accedi alla cartella “public_html” e quindi al documento “.htaccess”.

cos'è-xmlrpc-htaccess

3. Fare clic con il pulsante destro del mouse per modificare il file.

what-is-xmlrpc-htaccess-edit

4. In fondo al file incolla il seguente codice:

what-is-xmlrpc-htaccess-edit-save-changes

5. Salva ed esci.

Server Nginx

Per il server Nginx, incolla il seguente codice nel file di configurazione del tuo server:

Ora il tuo sito è protetto dagli attacchi.

In conclusione

Gli attacchi di forza bruta e il furto di dati continueranno a rappresentare un problema per i proprietari dei siti. È tuo dovere assicurarti che il tuo sito sia sicuro. La disabilitazione di XML-RPC è un modo efficace per farlo. Segui la guida sopra e proteggi subito il tuo sito web e i visitatori dagli hacker.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.