В ранните дни на WordPress имаше функции, които ви позволяваха да взаимодействате с уебсайта си от разстояние. Същите тези характеристики направиха възможно изграждането на общност, като позволиха достъп на други блогъри вашия блог. Основният инструмент, използван за тази цел, е „ XML-RPC ".
« XML-RPC "Или" XML Remote Procedure Call Дава голяма сила на WordPress:
- Свързване към вашия сайт с SmartPhone
- TrackBacks и Pingbacks са включени вашия блог
- Разширено използване на Jetpack
Но има проблем с „ XML-RPC “, който трябва да решите, за да запазите сигурността на вашия WordPress блог.
Как се използва XML-RPC в WordPress
Да се върнем в първите дни на Blogging "(добре преди WordPress), повечето автори в интернет използват комутируема Да сърфирате в мрежата. Беше трудно да пишете статии и да ги изпращате онлайн. Решението беше да пишете на компютъра си офлайн и " копир / Coller Вашата статия. Хората, които използваха този метод, намираха за особено трудно, тъй като текстът им често имаше чужди кодове, дори ако документът беше запазен в HTML формат.
Blogger е създал интерфейс за програмиране на приложения (API), за да позволи на други разработчици да имат достъп до блоговете на Blogger. Достатъчно беше да посочите името на уебсайта, което позволява на потребителите да създават статии офлайн и след това да се свързват с Blogger API чрез XML-RPC. Други системи за блогове последваха примера и в крайна сметка имаше MetaWeblogAPI, който стандартизира достъпа по подразбиране.
След десет години повечето от нашите приложения са на нашите телефони и таблети. Едно от нещата, които хората обичат да правят с телефоните си, е да публикуват в тях WordPress блог. През 2008-09 г. Automattic беше принуден да създаде WordPress приложение за почти всяка мобилна операционна система (същите Blackberry и Windows Mobile).
Тези приложения позволяват чрез XML-RPC интерфейса да използват вашите идентификационни данни на WordPress.com, за да се свържат със сайт на WordPress, където имате определени права за достъп.
Защо трябва да забравим за XML-RPC?
Съвместимост с XML-RPC Част е от WordPress от първия ден. WordPress 2.6 беше пуснат на 15 юли 2008 г. и активирането на " XML-RPC Добавен е в настройките на WordPress и по подразбиране е „ от ".
Седмица по-късно беше пусната версия на WordPress за iPhone и потребителите бяха помолени да активират функцията. Четири години след като приложението за iPhone се присъедини към семейството, WordPress 3.5 активира „ XML-RPC ".
Основните слабости, свързани с XML-RPC са:
- Атаки с груба сила: Атакуващите се опитват да влязат в WordPress, използвайки xmlrpc.php с толкова комбинации от потребителско име и парола. Няма пробни ограничения. Метод в xmlrpc.php позволява на нападателя да използва една команда (system.multicall), за да отгатнете стотици пароли.
- Отказ от атаки на услугата чрез Pingback
Удобство срещу WordPress сигурност
И така, ето отново. Съвременният свят е дълбоко скучен със своите компромиси.
Ако искате да сте сигурни, че никой не носи бомба на лодката ви, просто я прокарайте през металотърсачите. Ако искате да защитите колата си, докато пазарувате, заключете вратите и затворете прозорците. Не можете просто да разчитате на паролата за уебсайта, за да я защитите (осигуряват ли достатъчна защита стъклата на автомобила?), особено ако използвате Jetpack или мобилни приложения.
Как да деактивирате XML-RPC в WordPress
И така, вие станахте зависими от всички тези инструменти, които от своя страна зависят от XML-RPC. Разбирам, че всъщност не искате да изключите "XML-RPC" дори за малко.
Ето обаче няколко приставки, които ще ви помогнат да направите това:
- Спрете атаката на XML-RPC : позволява само на Jetpack и други инструменти на Automattic достъп до xmlrpc.php чрез .htaccess.
- Контрол на публикуването на XML-RPC: просто връща старата опция за отдалечено публикуване обратно към опциите за запис.
- iThemes сигурност, Защита срещу злонамерен софтуер намлява Защитна стена с груби сили et Всичко в едно WP сигурност и защитна стенаТези средства за сигурност с общо предназначение включват груба сила в безплатни версии. Те наблюдават многократни опити за вход с или без xmlrpc.php и ви защитават от заявки, които се опитват да разбият вашия сайт.
REST (и OAuth) до спасяването
Сега може би знаете, че разработчиците на WordPress се обръщат към REST решението. Разработчиците от екипа на REST API имаха няколко проблема с подготовката, включително с монетата за удостоверяване, предназначена да разреши проблема с XML-RPC. Когато това най-накрая бъде приложено (в момента е насрочен за WordPress 4.7 в края на 2016), няма да се налага да използвате XML-RPC за свързване със софтуер като JetPack.
Вместо това ще се удостоверите чрез протокола OAuth. Ако не знаете какво представлява протокол OAuth, помнете какво се случва, когато уебсайт поиска от вас да влезете с Google, Facebook или дори Twitter. Като цяло в тези платформи използваният протокол е OAuth.
Тест на API за WordPress REST
Както казах по-рано, REST API все още не е интегриран в ядрото на WordPress и няма да бъде с месеци. Днес можете да започнете да го тествате във вашите тестови среди:
API за почивка определено ще бъде бъдещето на WordPress. Вече написахме няколко урока за последната, които ще ви дадат идеи как можете да започнете да го прилагате:
- Как да разберете кога да използвате API за почивка
- Как да използвам API за почивка
- 7 ефективни реализации на Rest API
- Как да използвам WordPress HTTP API
Това е всичко за този урок. Надявам се, че ще бъдете по-добре информирани за рисковете, свързани с използването на XML-RPC. Не се колебайте да ни задавате въпроси в форма коментари.