Tắt XML-RPC khi không cần dùng nhé

Thời gian gần đây, cái blog bé vãi cả hàng của mình thường xuyên bị nhà cung cấp dịch vụ phàn nàn về việc dùng quá nhiều tài nguyên, dùng gần hết tài nguyên. Họ nói mình kiểm tra lại xem, và ngồi rảnh rảnh kiểm tra logs thì ôi thôi…. không biết ông thần nào đang định giết blog nhỏ bé của mình nữa 🙁

XML-RPC là một script được bật mặc định kể từ wordpress 3.5, script này hỗ trợ mọi người đăng bài từ một ứng dụng bên ngoài mà không cần phải đăng nhập thẳng vào web wordpress của bạn. Chính vì cái của nợ này mà rất nhiều blog bị tấn công.

Nguồn: Sucuri blog
Nguồn: Sucuri blog

Việc bị lợi dụng tấn công website WordPress qua XML-RPC không phải là mới, nhưng hiện tại vẫn có rất nhiều vụ tấn công do sơ ý của các chủ trang web (có mình luôn đấy)

Vậy nên hiện tại nếu bạn không có nhu cầu dùng tới các dịch vụ bên ngoài để đăng bài trên website thì bạn hãy vô hiệu hóa XML-RPC ngay từ giờ để tránh nguy cơ bị đâm chọt nhé. Và đừng xóa file này không là gây lỗi website đấy, mình sẽ chỉ các bạn cách (disable) nó đi

Chặn xmlrpc.php trên .htaccess

Nếu bạn đang sử dụng dịch vụ Shared host hoặc sử dụng các server Apache thì bạn có thể thêm vào tập tin .htaccess (tập tin này ở thư mục gốc của website nhé):

</files xmlrpc.php>
 order allow,deny
 deny from all
</files>
Chặn xmlrpc.php trên NGINX

Nếu bạn đang dùng NGINX làm backend cùng PHP-FPM thì bạn bỏ đoạn sau vào tập tin cấu hình domain trên NGINX nhé.

location = /xmlrpc.php {
 deny all;
 access_log off;
 log_not_found off;
}

Sau đó bạn khởi động lại NGINX bằng lệnh sau:

service nginx restart

Chặn xmlrpc.php bằng plugin iThemes Security

Nếu bạn không thạo làm cách trên thì có 1 cái làm thay bạn rồi, bạn cài plugin iThemes Security vào nhé.

Sau khi cài đặt iThemes Security bạn vào Security => settings => wordpress tweak => Disable xml-rpc.
ithemes-security-block-xmlrpc

Chúc bạn thành công.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
Notify of