Disable XML-RPC-API for WordPress

إذا كنت تدير موقع WordPress لفترة من الوقت، فمن المحتمل أنك سمعت قصصًا مرعبة عن كون XML-RPC موسمًا مفتوحًا للمتسللين أو الروبوتات التي تهاجم تسجيل الدخول الخاص بك. نعم، هذا ما دفعني لتجربة Disable XML-RPC-API for WordPress. إنه مكون إضافي بسيط يقوم بشكل أساسي بإيقاف واجهة XML-RPC التي تستهدفها الكثير من الهجمات، لذلك لا يضع موقعك في خط النار. لم أكن متأكدًا من مدى أهمية الأمر حتى رأيت انخفاض استخدام وحدة المعالجة المركزية لخادمي بعد إعداده - بالإضافة إلى أنني شعرت بتحسن عندما علمت أن هناك بابًا آخر مغلقًا بإحكام.

الاشياء الجيدة

ما لفت انتباهي حقًا هو مدى سهولة الإعداد. لا توجد تكوينات معقدة أو أذونات غريبة. ما عليك سوى التثبيت والتنشيط وتعطيل الوصول إلى boom-XML-RPC. أعجبني أيضًا أنه لم يحظر xmlrpc.php بشكل أعمى فحسب. يمكنك إضافة عناوين IP إلى القائمة البيضاء إذا كنت تريد ذلك، وهو أمر مفيد إذا كنت تستخدم تطبيقات عن بعد أو خدمات شرعية لا تزال بحاجة إلى XML-RPC. بالإضافة إلى ذلك، فهو ينظف روابط pingback التي ليست مزعجة فحسب، بل يمكن استغلالها أيضًا لهجمات DDoS، لذا فهي مكافأة جانبية رائعة.

الشيء الرائع الآخر هو خيار إعادة تسمية سبيكة XML-RPC أو تعطيل JSON REST API. لم أعبث بهذه الأمور شخصيًا، ولكن من الجيد أن يكون لديك هذه الإضافات لمزيد من التحكم في كيفية تواصل موقعك مع العالم الخارجي. وإخفاء إصدار WordPress الخاص بك؟ من الجيد دائمًا إبقاء المتسللين الفضوليين في حالة تخمين.

غير جيد

هذا هو الشيء - هذا البرنامج المساعد مجردة جدًا. لا توجد لوحة تحكم براقة أو تذكيرات مستمرة، والتي قد يجدها بعض الأشخاص بسيطة للغاية. إذا كنت تعتمد بشكل كبير على XML-RPC لأشياء مثل Jetpack أو بعض تطبيقات الهاتف المحمول، فقد يؤدي ذلك إلى تعطيل سير عملك ما لم تعبث بالقائمة البيضاء. بالإضافة إلى ذلك، ليس هناك الكثير من المعلومات حول من قام بذلك أو عدد مرات تحديثه، مما جعلني أتوقف في البداية. يجب أن تظل المكونات الإضافية للأمان نشطة وإلا فإنها قد تصبح عديمة الفائدة، لذلك أريد أن أرى المزيد من الشفافية هناك قبل الاعتماد عليها على المدى الطويل.

أخيرًا، ليس لديه نسخة تجريبية مجانية أو إصدار متميز، ولكن بصراحة، لا بأس بما يفعله.

خلاصة القول

إذا كنت تدير موقع WordPress وتريد طريقة سريعة وبدون زخرفة لإيقاف هجمات XML-RPC، فإن تعطيل XML-RPC-API لـ WordPress يستحق الاهتمام. إنه مجاني ومباشر، وبمجرد تشغيله، ربما يمكنك نسيانه بينما يهدأ الخادم الخاص بك قليلاً. لا تتوقع منه أن يحل محل مجموعة الأمان الكاملة أو أن يساعدك إذا كنت بحاجة إلى XML-RPC لأسباب مشروعة. بالنسبة لمعظم الأشخاص، وخاصة أولئك الذين لا يستخدمون تطبيقات WordPress عن بعد، فإن هذا المكون الإضافي سيقوم بالمهمة وسيبقي الأمور أكثر أمانًا دون أي ضجة.