Bir WordPress kurulumu çalıştırıyorsanız, XML-RPC adlı bir özelliğe rastlamış olabilirsiniz. Bu özellik, diğer sistemlerin ve yazılımların WordPress kurulumunuz üzerinde işlem gerçekleştirmesini sağlar. XML-RPC ile ilgili sorun, kötü amaçlı yazılım enjekte etmek de dahil olmak üzere kötü amaçlı amaçlarla kötüye kullanılabilecek olmasıdır. Kendinizi bu tür tehlikelerden korumak için özelliği kapatmak isteyeceksiniz.
WordPress’te XML-RPC Varsayılan Olarak Açıktır
XML-RPC, WordPress sitenizdeki içeriği kolayca değiştirmenize veya yayınlamanıza izin veren bir özelliktir. Ancak, varsayılan olarak etkin değildir. Güvenlik endişelerini önlemek için manuel olarak devre dışı bırakabilirsiniz. Neyse ki, WordPress bununla başa çıkmak için bir eklenti ile birlikte gelir. Eklentinin adı XML-RPC’yi Yönet ve değişikliği yapmak için etkinleştirebilirsiniz. WordPress yönetici panelinizde bulunabilir.
XML-RPC, çağrıları kodlamak için XML ve verileri taşımak için HTTP kullanan bir uzaktan prosedür çağrı protokolüdür. WordPress, üçüncü taraf uygulamaların sitenize bağlanmasını kolaylaştırmak için XML-RPC kullanır. Bu özellik, WordPress uygulaması aracılığıyla pingback göndermek veya makaleler göndermek için kullanışlıdır. Ancak, XML-RPC ile ilişkili bir dizi güvenlik riski vardır.
WordPress 3.5’ten bu yana, XML-RPC varsayılan olarak açıktır. WordPress’in önceki sürümlerinin kullanıcı tarafından etkinleştirilmesi gerekiyordu. WordPress kurulumunuzda XML-RPC’yi etkinleştirmek için Ayarlar -> Yazma -> Uzaktan Yayınlama’ya gidin. XML-RPC onay kutusunu arayın.
Ancak, XML-RPC’yi manuel olarak da devre dışı bırakabilirsiniz. Bu, canlı sitenizi etkilemeden WordPress sitenizde değişiklik yapmanıza olanak tanır. BlogVault eklentisi ile bir hazırlama sitesi oluşturabilir veya bir barındırma şirketinin hazırlama tesisini kullanabilirsiniz. Hazırlama sitesi public_html klasörü altında bulunmalıdır. Bu dizinde üç klasör olacaktır: public_html, tema dosyaları ve wp-content.
Diğer Sistemlerin veya Yazılımların WordPress Kurulumunda İşlem Yapmasına İzin Verir
XML-RPC, WordPress’in diğer sistemler ve yazılımlarla iletişim kurmasını sağlayan standart bir protokoldür. Bu, yazılımın WordPress kurulumunda işlem yapmasına ve diğer sistemlere veri sağlamasına olanak tanır. Ancak güvenliği sorgulandı. Bununla birlikte, WordPress kurulumunuz üzerinde daha fazla kontrol sahibi olmak istiyorsanız, bu özelliği etkinleştirmelisiniz.
XML-RPC’yi devre dışı bırakmanın birkaç yolu vardır, ancak en popüler yol bir eklenti kullanarak devre dışı bırakmaktır. Bu işlevi devre dışı bırakmak için en popüler eklentiye Disable XML-RPC denir. Eklenti dizinine gidin ve onu arayın. Ardından eklentiyi yüklemek için ‘Şimdi Kur’a tıklayın. Eklenti yüklendikten sonra, ‘Etkinleştir’e tıklayarak etkinleştirin. Bu, kodun otomatik olarak eklenmesine izin verir veya işlemi manuel olarak kontrol edebilirsiniz.
XML-RPC, WordPress 3.5 ve sonraki sürümlerinde varsayılan olarak etkindir. Bu özellik, belirli hizmetlerin çalışması için gereklidir. Bu özelliği devre dışı bırakmak, bu hizmetleri devre dışı bırakacaktır. Örneğin, Jetpack bu özelliği koddaki olası güvenlik sorunlarını izlemek için kullanır ve başlatılan siteler için çalışma süresi izleme sağlar. Ek olarak, VIP’nin altyapı uyarısının bir parçasıdır.
WordPress’te XML-RPC’yi etkinleştirmenin başka bir yolu, WordPress içeriğine erişebilen bir eklenti yazmaktır. Bu eklenti, Jetpack ve WordPress akıllı telefon uygulaması dahil olmak üzere bazı eklentiler tarafından kullanılacaktır.
Kötü Amaçlı Yazılım Enjekte Etmek İçin Kullanılabilir
WordPress’teki en popüler API’lerden biri XML-RPC’dir. Bu özellik, kullanıcıların tek bir HTTP isteğiyle birden çok komut göndermesine olanak tanır. Ancak, web siteniz güvenli değilse, bilgisayar korsanları tarafından kötü amaçlı yazılım enjekte etmek için kullanılabilir. Bu özellik ayrıca, savunmasız oturum açma kimlik bilgilerini hedeflemek için kaba kuvvet saldırılarının yapılmasına da olanak tanır.
Bu saldırı, sitenizin veritabanına içerik enjekte ederek çalışır. Bu, gönderilerden yorumlara kadar her şey olabilir. Saldırganlar bunu kötü amaçlı yazılımları ve diğer zararlı içerikleri enjekte etmek için kullanabilir. Sitenize enjekte edilen kod, diğer web siteleri de dahil olmak üzere birçok farklı kaynaktan gelebilir ve bu da sitenizi pahalı taleplerle boğabilir. XMLRPC, WordPress’teki varsayılan güvenlik açıklarından yararlanmada da yararlıdır.
WordPress kullanıcıları, verileri depolamak için MySQL veritabanını kullanır, ancak bu saldırıya açıktır. Bu, bilgisayar korsanlarının sitenizin kontrolünü ele geçirmesini kolaylaştırır. Ayrıca, bazı güvenlik açığı bulunan eklentiler, siteler arası komut dosyası çalıştırmayı (XSS) kolaylaştırır. Kötü amaçlı JavaScript kodu, sitenizdeki değerli verilere erişebilir.
Sitenizi bu tür saldırılara karşı korumanın iyi bir yolu, güvenlik duvarı korumasını ve oturum açma koruma önlemlerini entegre eden bir güvenlik eklentisi kullanmaktır. WordPress’in eski sürümlerinde yaygın bir özellik olan XML-RPC’yi devre dışı bırakmak da isteyebilirsiniz.
Yorum Yok