Zabezpečení Wordressu - xmlrpc.php

Jedním z častých problémů WordPressu jsou útoky skrze soubor xmlrpc.php. Obrana proti tomuto útoku je celkem jednoduchá. Lze instalovat nějaký bezpečnostní pluginu, který dokáže rozpoznat pokusy o zneužití tohoto souboru a tyto útoky blokovat, ale toto vás stojí prostředky přidělené webhostingem. Chytřejším řešením je nastavení blokování na úrovni hostingového webserveru a jeho WAF (web aplication firewall).

V editaci webhostingu/wordpress hostingu naleznete kartu Zabezpečení přístupu. Tam můžete blokovat požadovaný soubor, nebo přidat i další včetně celých adresářů - jsou uvedeny příklady. Apliace se sama k těmto souborům samozřejmě dostane, nedostane se tam pouze přístup z Internetu.

Pokud požadujete aby se k danému blokovanému souboru dostala nějaká IP/server, tak jednoduše povolíte přístup IP dané služby nebo serveru. Automaticky povolujeme např. přístupy služeb JetPack které jsou na souboru xmlrpc.php závislé, takže vám tento plugin nepřestane fungovat.

Xmlrpc.php není z drtivé většiny instancí WP třeba vystavovat do internetu pokud nepoužíváte specifické moduly nebo vzdálené ovládání WP využivající tento soubor.