Kiến thức web

WordPress XML-RPC là gì? 2 Cách tắt XML-RPC bảo mật WordPress

Đăng vào bởi Mỹ Y

WordPress XML-RPC là gì? Đây là một giao thức được tích hợp sẵn trong WordPress, cho phép trao đổi dữ liệu giữa website và các ứng dụng từ xa, như ứng dụng di động hoặc các công cụ bên ngoài. Tuy nhiên, dù mang lại nhiều tiện ích, XML-RPC cũng có thể là mục tiêu của các cuộc tấn công, nếu không được quản lý đúng cách. Trong bài viết này, cùng InterData tìm hiểu về XML-RPC WordPress, tìm hiểu ưu – nhược điểm khi sử dụng XML-RPC đến cách kích hoạt và tắt XML-RPC trên website WordPress của bạn.

WordPress XML-RPC là gì?

WordPress XML-RPC là một giao thức tích hợp trong WordPress, cho phép giao tiếp từ xa giữa trang web và các ứng dụng bên ngoài. Giao thức này sử dụng XML kết hợp với RPC (Remote Procedure Call) để thực hiện các tác vụ như đăng bài, chỉnh sửa nội dung mà không cần truy cập trực tiếp vào bảng điều khiển quản trị. Tệp xmlrpc.php trong thư mục gốc của WordPress chính là nơi xử lý các yêu cầu này, giúp kết nối dễ dàng với các công cụ bên ngoài.

Cơ chế hoạt động của XML-RPC khá đơn giản. Một ứng dụng gửi yêu cầu đến địa chỉ như http://yourdomain.com/xmlrpc.php, kèm theo thông tin xác thực và lệnh cụ thể. Sau đó, WordPress xử lý và trả về kết quả dưới dạng XML. Điều này rất hữu ích cho việc quản lý nội dung từ xa, đặc biệt với các ứng dụng di động WordPress hoặc các tính năng như pingbacks và trackbacks, thông báo tự động khi có liên kết từ trang khác.

WordPress XML-RPC là gì?
WordPress XML-RPC là gì?

Ưu và nhược điểm của WordPress XML-RPC

Ưu điểm của WordPress XML-RPC là gì?

XML-RPC từng được sử dụng phổ biến trong WordPress và các hệ thống khác trước đây vì một số lý do chính sau:

1. Cho phép chỉnh sửa và đăng tải nội dung từ xa khi internet chưa phát triển:

Vào thời điểm internet chưa phổ biến và tốc độ đường truyền còn hạn chế, XML-RPC cho phép người dùng truy cập và chỉnh sửa nội dung website mà không cần kết nối internet ổn định.

XEM THÊM:  Tag là gì? Hướng dẫn cách thêm Tag trên Website WordPress

Người dùng có thể tạo một bản sao website offline, chỉnh sửa nội dung trên đó, sau đó sử dụng XML-RPC để đồng bộ hóa với website chính khi có kết nối internet.

2. Hỗ trợ kết nối với các ứng dụng và dịch vụ bên ngoài:

XML-RPC cho phép các ứng dụng di động, phần mềm desktop và các dịch vụ web khác kết nối và tương tác với WordPress. Điều này giúp người dùng quản lý website, đăng bài viết, theo dõi bình luận từ xa một cách thuận tiện.

3. Đơn giản và dễ sử dụng:

  • So với các giao thức phức tạp hơn, XML-RPC tương đối đơn giản để triển khai và sử dụng.
  • Nó chỉ yêu cầu kiến thức cơ bản về XML và HTTP, giúp các nhà phát triển dễ dàng tích hợp vào ứng dụng của họ.
Ưu và nhược điểm của WordPress XML-RPC
Ưu và nhược điểm của WordPress XML-RPC

Nhược điểm của WordPress XML-RPC là gì?

Tuy nhiên, với sự phát triển của công nghệ, XML-RPC dần bộc lộ những hạn chế:

  • Bảo mật kém: XML-RPC có những lỗ hổng bảo mật nghiêm trọng, có thể bị khai thác để tấn công website.
  • Hiệu suất thấp: XML-RPC sử dụng XML để mã hóa dữ liệu, dẫn đến dung lượng dữ liệu lớn và tốc độ xử lý chậm.
  • Thiếu linh hoạt: XML-RPC chỉ hỗ trợ một số lượng hạn chế các tác vụ và phương thức, không đáp ứng được nhu cầu ngày càng cao của các ứng dụng hiện đại.

Vì những lý do này, XML-RPC WordPress đang dần bị thay thế bởi REST API, một giao thức hiện đại, an toàn và hiệu quả hơn. Mặc dù vậy, XML-RPC vẫn còn được sử dụng trong một số trường hợp đặc biệt, chủ yếu là để hỗ trợ các ứng dụng và plugin cũ.

Ứng dụng của WordPress XML-RPC là gì?

Trong WordPress, XML-RPC được chia thành hai phần chính: XML-RPC server và XML-RPC client.

XML-RPC server đóng vai trò như một web server, có nhiệm vụ nhận và xử lý thông tin đã được mã hóa từ XML-RPC client. Trong khi đó, XML-RPC client là hệ thống sử dụng định dạng XML để mã hóa các tham số và gửi dữ liệu này đến XML-RPC server. Cấu trúc này cho phép giao tiếp giữa các hệ thống khác nhau, hỗ trợ các chức năng như điều khiển từ xa và quản lý nội dung hiệu quả.

XEM THÊM:  WordPress Debug là gì? Cách bật WordPress Debug xử lý lỗi website

Cách kích hoạt XML-RPC trong WordPress

Để kích hoạt XML-RPC WordPress, bạn chỉ cần thực hiện 3 bước đơn giản sau đây:

Hướng dẫn kích hoạt XMLRPC trong WordPress
Hướng dẫn kích hoạt XMLRPC trong WordPress

Bước 1: Cài đặt plugin “Control XMLRPC publishing” để hỗ trợ quản lý việc kích hoạt XML-RPC.

Bước 2: Vào phần cài đặt trên WordPress, chọn Settings -> Write -> Remote Publishing with XMLRPC và bật chế độ Enabled.

Bước 3: Nhấn Save changes để lưu lại các thay đổi. Sau khi thực hiện xong, XML-RPC đã được kích hoạt và sẵn sàng hoạt động.

Cách phát hiện XML-RPC.PHP đang bị tấn công

Để phát hiện liệu website của bạn có đang bị tấn công thông qua XML-RPC hay không, một trong những cách đơn giản và hiệu quả nhất là kiểm tra tệp tin access_log. Nếu bạn nhận thấy có sự gia tăng đột biến về số lượng các yêu cầu truy cập, đặc biệt là các yêu cầu liên quan đến xmlrpc.php, thì rất có thể trang web của bạn đang phải đối mặt với một cuộc tấn công từ XML-RPC.

Ví dụ, nếu có một loạt các yêu cầu gửi đến xmlrpc.php với tần suất liên tục, điều này có thể là dấu hiệu của một cuộc tấn công từ bot hoặc kẻ tấn công đang lợi dụng XML-RPC để thực hiện các hành vi xâm nhập trái phép.

Trang web đang bị tấn công qua XML-RPC
Trang web đang bị tấn công qua XML-RPC

Một trong những phương pháp hiệu quả nhất để bảo vệ website khỏi các cuộc tấn công qua XML-RPC là vô hiệu hóa giao thức này. Bởi vì khi cài đặt WordPress, XML-RPC được bật mặc định, người dùng cần thực hiện một vài thao tác để tắt tính năng này.

Có rất nhiều cách để vô hiệu hóa XML-RPC, từ việc sử dụng plugin bảo mật cho đến chỉnh sửa cấu hình file .htaccess, giúp ngăn chặn các cuộc tấn công và bảo vệ sự an toàn của website.

Hướng dẫn 2 cách tắt XML-RPC trong WordPress

Cách 1: Tắt XML-RPC qua Plugin

Để vô hiệu hóa tính năng XML-RPC trên website WordPress, một trong những phương pháp đơn giản và hiệu quả là sử dụng plugin hỗ trợ, như plugin iThemes Security. Đây là một plugin bảo mật phổ biến, được nhiều người dùng tin tưởng và cài đặt trên website của mình.

Sau khi cài đặt plugin và kích hoạt, bạn truy cập vào Security => Settings => Advanced => WORDPRESS TWEAKS để cấu hình. Tại đây, bạn sẽ có các tùy chọn để điều chỉnh việc sử dụng XML-RPC:

  • Disable XML-RPC: Đây là tùy chọn được khuyến nghị sử dụng vì nó sẽ tắt hoàn toàn XML-RPC, khiến các dịch vụ như Jetpack, ứng dụng WordPress Mobile và Pingback không còn hoạt động nữa.
  • Disable Pingbacks: Chỉ tắt tính năng Pingback, trong khi các tính năng khác của XML-RPC như Jetpack hoặc ứng dụng WordPress Mobile vẫn tiếp tục hoạt động.
  • Enable XML-RPC: Bật lại XML-RPC. Tùy chọn này chỉ nên sử dụng khi website của bạn thực sự cần sử dụng tính năng XML-RPC.
XEM THÊM:  TOP 10+ Plugin tăng tốc Website Wordpress tối ưu SEO, độ tải trang

Cách 2: Tắt XML-RPC qua .htaccess

Một cách khác để vô hiệu hóa XML-RPC là chỉnh sửa file .htaccess. Để thực hiện điều này, bạn cần truy cập vào thư mục gốc (Document Root) của website trên Host hoặc VPS của mình, sau đó chỉnh sửa file .htaccess.

Chỉnh sửa file .htaccess
Chỉnh sửa file .htaccess

Bạn sẽ chèn đoạn mã sau vào file để tắt XML-RPC:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
Cấu trúc khi chèn vào sẽ như hình
Cấu trúc khi chèn vào sẽ như hình

Sau khi thêm đoạn mã vào file, đừng quên nhấn Save để áp dụng thay đổi. Việc này sẽ ngừng tất cả các kết nối đến xmlrpc.php, vô hiệu hóa tính năng XML-RPC trên website của bạn.

Sau khi thực hiện một trong hai cách trên, bạn có thể dễ dàng kiểm tra xem XML-RPC đã bị tắt thành công hay chưa. Để làm điều này, chỉ cần truy cập vào đường dẫn: https://tenwebsite.com/xmlrpc.php.

Kiểm tra xem XML-RPC trên website đã được tắt chưa
Kiểm tra xem XML-RPC trên website đã được tắt chưa

Nếu XML-RPC đã bị vô hiệu hóa, bạn sẽ nhận được thông báo lỗi hoặc không thể truy cập vào trang này, chứng tỏ rằng tính năng XML-RPC đã được tắt đúng cách.

Với những nguy cơ tiềm ẩn từ WordPress XML-RPC, việc bảo vệ website khỏi các cuộc tấn công là điều hết sức quan trọng. Nếu nhận thấy dấu hiệu bất thường từ các tệp log, cách hiệu quả nhất chính là vô hiệu hóa XML-RPC hoặc áp dụng các biện pháp bảo mật khác.

Hy vọng rằng, qua bài viết này, bạn đã có cái nhìn rõ ràng hơn về WordPress XML-RPC là gì và cách để bảo vệ website của mình khỏi các mối đe dọa tiềm ẩn từ giao thức này.

InterData.vn cung cấp dịch vụ thuê VPS cấu hình mạnh và thuê hosting giá tốt tại Việt Nam với nhiều tùy chọn cấu hình, từ cơ bản đến nâng cao, phù hợp cho cả cá nhân và doanh nghiệp. Bên cạnh đó, InterData còn mang đến Cloud Server hiệu suất cao, mạnh mẽ với khả năng mở rộng linh hoạt, đáp ứng nhu cầu của các hệ thống lớn. Ngoài ra, dịch vụ thuê Server vật lý tại InterData đảm bảo hiệu suất tối ưu và bảo mật cao, giúp doanh nghiệp yên tâm vận hành hệ thống lâu dài.

InterData

  • Website: Interdata.vn
  • Hotline 24/24: 1900-636822
  • Email: [email protected]
  • VPĐD: 240 Nguyễn Đình Chính, P.11. Q. Phú Nhuận, TP. Hồ Chí Minh
  • VPGD: Số 211 Đường số 5, KĐT Lakeview City, P. An Phú, TP. Thủ Đức, TP. Hồ Chí Minh
Mỹ Y

Nguyễn Thị Mỹ Y tốt nghiệp chuyên ngành Marketing Thương mại với hơn 4 năm kinh nghiệm trong lĩnh vực Content về Công nghệ và Phần mềm. Hiện tôi đang đảm nhiệm vị trí Digital Marketing tại InterData – đơn vị cung cấp giải pháp công nghệ lưu trữ hàng đầu tại Việt Nam, nơi tôi có cơ hội làm việc cùng các chuyên gia trong ngành. Trong công việc, tôi tham gia phát triển nội dung về phần mềm mã nguồn mở, ứng dụng và các giải pháp công nghệ hữu ích. Đồng thời, tôi luôn chủ động tham gia workshop, khóa đào tạo và cập nhật xu hướng mới nhằm nâng cao chuyên môn, với mong muốn góp phần chia sẻ kiến thức và thúc đẩy sự phát triển của cộng đồng công nghệ tại Việt Nam. Các bài viết được đăng trên blog của InterData đã được các chuyên viên kỹ thuật kiểm duyệt trước khi đăng.