我們最近在一篇討論 XML-RPC 暴力破解攻擊的部落格文章中,提出了一些關於如何在 WordPress 上停用 XML-RPC 的問題。為了消除您的疑惑,我們想詳細解釋 XML-RPC 的功能,以及您是否應該考慮停用它。
WordPress 上的XML-RPC 實際上是一個 API,即「應用程式介面」。它使開發行動應用程式、桌面應用程式和其他服務的開發者能夠與您的 WordPress 網站進行通訊。 WordPress 提供的 XML-RPC API 使開發者能夠(為您)編寫應用程序,這些應用程式可以執行許多您透過 Web 介面登入 WordPress 時可以執行的操作。這些操作包括:
- 發布貼文
- 編輯貼文
- 刪除帖子。
- 上傳新檔案(例如貼文的圖片)
- 取得評論列表
- 編輯評論
若要查看開發人員可透過 XML-RPC 使用的 WordPress API 函數的完整列表,請查看WordPress 程式碼上的此頁面。
如果您在 WordPress 上停用 XML-RPC 服務,任何應用程式都將無法使用此 API 與 WordPress 通訊。
讓我們舉個例子來說明:你的 iPhone 上有一個可以審核 WordPress 評論的應用程式。有人建議你停用 XML-RPC。你的 iPhone 應用程式突然停止運作,因為它無法再使用你剛剛禁用的 API 與你的網站通訊。
對我們來說,停用 XML-RPC 是有代價的。您正在停用 WordPress 中的一個主要 API。我們曾短暫地提供過此功能,但由於 WordPress 本身的 API 濫用預防功能有所改進,因此將其移除。此外,提供停用 XML-RPC 的功能會導致用戶應用程式因無法存取該 API 而崩潰,從而造成困惑。
Jetpack是 WordPress 最受歡迎的外掛程式之一,其功能高度依賴 XML-RPC。它是由WordPress 的開發者Automattic開發。如果您造訪 Jetpack 的「已知問題」頁面,您會注意到他們討論瞭如果您使用某些安全插件來停用 XML-RPC,它們會如何影響 Jetpack 的功能。
在過去兩年中,以下兩種針對 XML-RPC 的攻擊受到了媒體的報導。
- 透過 XML-RPC pingback 發動 DDoS 攻擊。這實際上不是一種非常有效的 DDoS 攻擊形式,像Akismet這樣的反垃圾郵件外掛程式已經能夠很好地識別此類濫用行為。
- 透過 XML-RPC 進行暴力攻擊。如果您使用 Wordfence,這些攻擊將完全無效,因為我們會在攻擊者達到登入嘗試次數限制後將其封鎖。
如果您仍然想要停用 XML-RPC,WordPress 官方程式碼庫中提供了多個外掛程式供您選擇 。您將失去應用程式所依賴的所有 XML-RPC API 功能。我們不會在自己的網站上停用 XML-RPC。
希望以上內容對您有所幫助,並解答了我們在評論區發現的一些困惑。一如既往,我們非常歡迎您在下方留言。
