WordPress uzaktan etkileşime geçebilmeniz üzere tasarlanmış dahili özelliklere sahiptir. Mutlaka siz de bazen, yakınlarda bilgisayar olmadığında sitenize ulaşmak istemişsinizdir. Uzun bir süre boyunca, çözüm xmlrpc.php dosyasıydı. Fakat son zamanlarda bu dosya çözümden çok kendi başına bir sorun oluşturmaya başladı.

Bu dosyanın oluşturduğu yaygın güvenlik açıklarını ve bu açıkları kendi WordPress sitemizde nasıl kapatacağımız hakkında da bilgi vermeye çalışalım.


WordPress xmlrpc.php Nedir ve Niçin Devre Dışı Bırakılmalıdır


Xmlrpc.php Nedir?

XML-RPC, HTTP’nin bir tür taşıma mekanizması ve XML’nin kodlama mekanizması şeklinde çalışarak veri transferine olanak tanıyan bir WordPress özelliğidir. WordPress’in kendisi kapalı bir sistem olmadığından ve ara ara diğer sistemlerle iletişime geçmesi gerektiğinden, bu işi gerçekleştirmesi için xmlrpc.php dosyası düşünüldü.

Örneğin, bilgisayarınız yanınızda değil ve mobil cihazınızı kullanarak sitenizde yazı yayınlamak istediniz. Tam da bunun için xmlrpc.php dosyası sayesinde uzaktan erişim özelliğini kullanabilirsiniz.

Xmlrpc.php’nin çekirdek özellikleri sitenize bir akıllı telefonla ulaşabilmenizi sağlar, diğer sitelerden geri izleme ve pinglemeye olanak tanır ve jetpack eklentisiyle ilişkili çeşitli diğer işlevleri üstlenir.

Xmlrpc.php Niçin Oluşturuldu ve Nasıl Kullanıldı?

XML-RPC uygulaması WordPress’in henüz WordPress olmadığı günlere dayanıyor.

İnternetin ilk zamanlarında, bağlantılar inanılmaz derece yavaşken internette yazı yazma ve yayınlama çok daha zor ve zaman alan bir işlemdi. Tarayıcı üzerinde yazmak yerine, çoğu kişi offline olarak yazılarını hazırlar ardından bu içeriği kopyala yapıştır yöntemiyle internete taşırdı. Bu işlem hala ideal olmaktan uzak.

Çözüm (o zamanlarda), içeriğinizi hazırlayıp ardından yayınlayabilmek için bloğunuza bağlanan offline bir blog istemcisi oluşturmak oldu. Bu bağlantı XML-RPC aracılığıyla sağlandı. XML-RPC’nin basit sistemi oluşturulduğunda, ilk uygulamalar bu bağlantıyı kullanarak insanların WordPress sitelerine diğer cihazlardan ulaşabilmelerini sağladı.

Xmlrpc.php Dosyasını Niçin Devre Dışı Bırakmalısınız

XML-RPC’nin en büyük sorunu, ortaya çıkan güvenlik endişeleri. Sorun doğrudan XML-RPC ile alakalı değil ancak bu dosya kullanılarak nasıl sitenize brute force saldırıları yapılabileceği.

Elbette kendinizi aşırı güçlü şifrelerle ve WordPress güvenlik eklentileriyle koruyabilirsiniz. Ancak en iyi korunma yöntemi, basitçe bu dosyayı devre dışı bırakmaktır.

XML-RPC’nin geçmişte istismar edildiği başlıca iki zayıflığı bulunmaktadır.

İlki, sitenize erişim kazanmak için brute force saldırılarının kullanımı. Saldırgan xmlrpc.php dosyasını kullanarak şifre ve kullanıcı adı kombinasyonları deneme suretiyle sitenize erişim sağlamaya çalışıyor. Sadece bir komut kullanarak yüzlerce farklı şifre deneyebiliyorlar. Bu sayede genellikle brute force saldırılarını tespit ederek önüne geçebilen güvenlik araçlarını atlayabiliyorlar.

İkincisi, sitenizin bir DDoS saldırısıyla kapatılması. Ardından saldırganlar WordPress’deki pingback özelliğini kullanarak binlerce siteye eş zamanlı olarak geri pingleme gerçekleştiriyor. Xmlrpc.php’deki bu özellik, saldırganlara DDoS saldırısın dağıtımı için neredeyse sınırsız sayıda IP adresi sağlıyor.

XML-RPC’nin sitenizde çalışıp çalışmadığını kontrol etmek için XML-RPC Validator isimli aracı kullanabilirsiniz. Araç üzerinde sitenizi çalıştırın ve eğer bir hata mesajı alırsanız bu XML-RPC’nin aktif olmadığı anlamına gelir.

Eğer bir başarı mesajı alırsanız, xmlrpc-php dosyasını durdurmak için aşağıdaki iki yöntemden birini kullanabilirsiniz.

Yöntem 1: Eklentiler Aracılığıyla Xmlrpc.php Devre Dışı Bırakma
WordPress sitenizde XML-RPC’yi devre dışı bırakmak oldukça kolaydır.

Sadece WordPress admin panelinizden Eklentiler > Yeni Ekle bölümünü açın. Ardından arama kısmına Disable XML-RPC girin ve aşağıdaki gibi görünen eklentiyi yükleyin.


Eklentiyi etkinleştirin ve hazırsınız. Bu eklenti, XML-RPC’yi devre dışı bırakmak için gerekli kodu otomatik olarak ekleyecektir.

Ancak bazı mevcut eklentilerin XML-RPC’nin çeşitli bölümlerini kullanabileceğini unutmayın. Bu yüzden tamamen devre dışı bırakmak sahip olduğunuz bir eklentinin çakışmasına veya sitenizdeki işlevini kaybetmesine sebep olabilir.

Eğer XML-RPC’nin sadece belirli öğelerini devre dışı bırakmak ancak hala belirli eklenti ve özelliklerin çalışmasına izin vermek için aşağıdaki eklentileri kullanabilirsiniz:

Stop XML-RPC Attack. Bu eklenti tüm XML-RPC saldırılarını durdurur ancak Jetpack gibi diğer otomatik araç ve eklentilerin xmlrpc.php dosyasına erişim sağlamasına izin verir.

Control XML-RPC Publishing. Bu eklenti size xmlrpc-php tarafından sunulan uzaktan yayınlama özelliğini kullanabilme ve kontrol etme imkanı sağlar.

Yöntem 2: Xmlrpc.php Dosyasını Manuel Kapatma

Eğer bir eklenti kullanmadan manuel olarak yapmak istiyorsanız, bu yöntemi uygulayın. Bu sayede gelecek olan tüm xmlrpc.php taleplerini WordPress’e ulaşmadan kapatabilirsiniz.

.htaccess dosyanızı açın. Bu dosyayı bulabilmek için dosya yöneticisinde veya FTP istemcisinde ‘gizli dosyaları göster’ seçeneğini etkinleştirmeniz gerekebilir.

.htaccess dosyası içine aşağıdaki kodu yapıştırın:

Kaynak : [Üye Olmadan Linkleri Göremezsiniz. Lütfen Üye Olmak için TIKLAYIN...]