WordPress โดนยิง xmlrpc.php + วิธีป้องกัน

การใช้งาน xmlrpc.php ของรตัวระบบ WordPress เป็นอีกช่องโหว่ที่ Hacker ชื่นชอบอย่างมาก เพราะมันสามารถใช้เป็น DDoS Zombie หรือเรียกว่าเครื่องเหยื่อได้ โดยหลักการ DDoS Attack XMLRPC ผู้ที่ทำการ Attack จะทำการส่ง Req ไปหาเว็บไซต์ที่เปิดใช้งาน XMLRPC และสามารถที่จะส่ง Return ไปยังเว็บเป้าหมายได้

นอกจากนี้ XMLRPC ยังเป็นส่วนหนึ่งของการ Brute Force Attack (Brute Force Amplification) เพื่อสุ่มรหัสผ่านเข้าสู่ระบบของ WordPress อีกด้วย, เหมือนมันจะไม่มีประโยชน์อะไรเลยจริงๆเจ้าตัว XMLRPC เนี่ย.. แต่มันมีประโยชน์นะ สำหรับคนที่จะใช้งานทำ API ต่างๆ แน่นอนว่ามันสำคัญมากๆ แต่กับคนใช้งาน WordPress ทั่วๆไป ไม่มีความจำเป็นที่จะต้องไปใช้งานตัวนี้ ผมแนะนำให้ปิดไว้เลยจะดีกว่า

วิธีการปิด XMLRPC สามารถทำได้ง่ายๆ 2 วิธีดังนี้

  1. ใช้ .htaccess ป้องกันการเข้าถึงไฟล์ xmlrpc.php โดยโค๊ดดังนี้
    1
    2
    3
    4
    <Files xmlrpc.php>
    order deny,allow
    deny from all
    </Files>
  2. ใช้งาน Plugin “All In One WP Security & Firewall” และเปิดใช้งาน “Enable Pingback Protection” หลังจากเปิดใช้แล้ว มันก็ไปสร้างโค๊ดใน .htaccess ให้นั่นแหละ เพียงแต่เราทำผ่าน GUI ได้โดยไม่ต้องเข้าไปแก้ไขโค๊ดเอง ก็สะดวกไปอีกแบบนะครับ
  • cms, WordPress, DDOS, Directadmin
  • 0 Users Found This Useful
Was this answer helpful?

Related Articles

เร่งความเร็ว WordPress ให้ทะลุจอ [ปัญหา+วิธีการ]

หลายๆคนที่ใช้งาน WordPress แล้วพบกับปัญหาการติดตั้ง Theme, Plugin เข้าไปเยอะ...

วิธีป้องกัน WordPress โดน Hack

อัพโหลดไฟล์ของ WordPress ขึ้นสู่โฮสสมบูรณ์แล้วให้ตั้งค่าดังนี้  1. ไปที่ไฟล์...

วิธีการเปลี่ยนภาษา WordPress เป็นไทยหรืออังกฤษ

วิธีการเปลี่ยนภาษา WordPress เป็นไทยหรืออังกฤษ  วิธีที่ 1 WordPress...

วิธีการป้องกัน WordPress โดนแฮก [Hack WordPress]

จากบทความที่แล้ว วิธีการ Clean Install WordPress ใหม่ทั้งหมด...

WordPress แนะนำ Plugin แก้ไข URL ในเว็บให้เป็น HTTPS

สืบเนื่องจากบทความ “.htaccess คำสั่ง Redirect HTTP ไปยัง HTTPS”...