Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Puchar WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Jak wyłączyć XML-RPC w WordPress (metoda zabezpieczenia)

Czy chcesz wyłączyć XML-RPC na twojej witrynie WordPress?

XML-RPC to rdzeń interfejsu API WordPress, który umożliwia użytkownikom łączenie się z witryną internetową WordPress za pomocą aplikacji, narzędzi i usług innych firm. Niestety, w przeszłości hakerzy znaleźli sposoby na wykorzystanie XML-RPC w celu uzyskania dostępu do witryn internetowych WordPress.

W tym artykule pokażemy, jak łatwo wyłączyć XML-RPC w WordPress.

Easily disable XML-RPC in WordPress

Czym jest XML-RPC w WordPress?

XML-RPC to rdzeń API WordPressa, który jest domyślnie włączony od czasu wydania WordPressa 3.5 w 2012 roku. Umożliwia programistom korzystanie z protokołów XML i HTTPS do łączenia się i interakcji z twoją witryną internetową WordPress.

Krótko mówiąc, XML-RPC musi być włączony, aby uzyskać dostęp do twojego bloga i publikować go zdalnie, np. gdy chcesz używać aplikacji mobilnej do zarządzania witryną lub nawiązywać połączenia z usługami automatyzacji, takimi jak Uncanny Automator lub Zapier.

Jeśli jednak nie korzystasz z aplikacji mobilnych na swojej witrynie internetowej, niektórzy eksperci ds. zabezpieczeń WordPress mogą zalecić wyłączenie XML-RPC. Zamyka to drzwi, które potencjalnie mogą zostać wykorzystane do włamania się na twoją witrynę internetową.

W związku z tym przyjrzyjmy się, jak łatwo wyłączyć interfejs API XML-RPC w WordPress. Metoda .htaccess jest najlepsza, ponieważ jest najmniej zasobochłonna, a inne metody są łatwiejsze dla początkujących.

Metoda 1: Wyłącz WordPress XML-RPC za pomocą .htaccess (zaawansowane)

Ta metoda jest przeznaczona dla zaawansowanych użytkowników, ponieważ wymaga edycji pliku .htaccess twojej witryny. Początkującym zalecamy skorzystanie z metody 2 lub 3.

Ten sposób ma kilka zalet, takich jak możliwość udzielenia zdalnego dostępu tobie i twojemu zespołowi przy jednoczesnym ograniczeniu dostępu wszystkim innym. Nie ma on również negatywnego wpływu na wydajność twojego WordPressa, ponieważ wyłącza żądania XML-RPC zanim zostaną one przekazane do WordPressa.

Będziesz musiał dodać następujący kod do twojego pliku .htaccess. Możesz to zrobić, łącząc się z twoją witryną za pomocą klienta FTP lub menedżera plików. Użytkownicy All in One SEO mogą również użyć wbudowanego narzędzia edytora wtyczki, aby dodać fragment kodu, jak widać na poniższym zrzucie ekranu.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
allow from 123.123.123.123
</Files>
Use AIOSEO Pro to disable XML-RPC from htaccess

Jeśli chcesz dać określonemu użytkownikowi zdalny dostęp do twojej witryny, po prostu zastąp „123.123.123.123” w linii 5 jego adresem IP. Możesz dodać wiele adresów IP, oddzielając je spacjami.

Lub, jeśli chcesz całkowicie wyłączyć XML-RPC, usuń całkowicie linię 5.

Uwaga: Jeśli nie możesz zlokalizować .htaccess, zapoznaj się z naszym przewodnikiem na temat tego, dlaczego nie możesz znaleźć .htaccess w WordPress.

Metoda 2: Wyłącz WordPress XML-RPC za pomocą fragmentu kodu (zalecane)

Ta metoda wymaga dodania kodu do twojej witryny internetowej WordPress. Jeśli nie robiłeś tego wcześniej, zapoznaj się z naszym przewodnikiem na temat kopiowania i wklejania własnych fragmentów kodu w WordPress.

WPCode to najłatwiejszy i najbezpieczniejszy sposób dodawania kodu do twojej witryny WordPress. Pomaga zarządzać twoimi fragmentami kodu i zapobiega uszkodzeniu witryny przez jakiekolwiek błędy.

W tej metodzie użyjemy jednego z wbudowanych fragmentów kodu WPCode, aby wyłączyć XML-RPC.

Najpierw należy zainstalować darmową wtyczkę WPCode. Aby uzyskać instrukcje krok po kroku, sprawdź nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.

Po włączaniu, przejdź do Code Snippets ” Add Snippet. Biblioteka WPCode zawiera już fragment kodu, który wyłącza XML-RPC. Można go znaleźć wyszukując „xml”.

Po jego znalezieniu należy kliknąć przycisk „Użyj fragmentu kodu”.

Use WPCode Library to disable XML-RPC

Następnie należy przełączyć przełącznik „Aktywny” na pozycję „Włączony”.

Na koniec upewnij się, że kliknąłeś przycisk „Aktualizuj”, aby włączyć fragment kodu na twojej witrynie i wyłączyć XML-RPC API.

Turn the WPCode snippet on by clicking Activate and pressing Update

Metoda 3: Wyłączenie WordPress XML-RPC za pomocą wtyczki

Jest to prosta metoda, której można użyć, jeśli nie chcesz dodawać żadnych innych konfiguratorów do twojej witryny internetowej za pomocą fragmentu kodu wtyczki

Wystarczy zainstalować i włączyć wtyczkę Disable XML-RPC-API. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.

Wtyczka działa po wyjęciu z pudełka i natychmiast wyłącza XML-RPC.

Możesz przejść do Zabezpieczenia XML-RPC ” Ustawienia XML -RPC, aby skonfigurować wtyczkę. Można na przykład zezwolić określonym użytkownikom na dostęp do XML-RPC, umieszczając ich adresy IP na białej liście.

The Disable XML-RPC-API Plugin Settings

Testowanie, czy WordPress XML-RPC jest wyłączony

Teraz powinieneś sprawdzić, czy pomyślnie wyłączyłeś API XML-RPC na twojej witrynie internetowej WordPress.

Możesz również sprawdzić, czy XML-RPC jest wyłączony, po prostu przechodząc na adres URL http://example.com/xmlrpc.php w twojej przeglądarce. Upewnij się, że zastąpiłeś „example.com” nazwą domeny twojej witryny internetowej.

Jeśli XML-RPC jest wyłączony, powinien pojawić się komunikat o błędzie: 'Zabronione: nie masz uprawnień dostępu do tego zasobu’.

Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak łatwo wyłączyć XML-RPC w WordPress. Możesz również dowiedzieć się, jak zainstalować Google Analytics w WordPress lub sprawdzić naszą listę oprogramowania do czatu na żywo dla małych firm.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Ujawnienie: Nasze treści są wspierane przez czytelników. Oznacza to, że jeśli klikniesz na niektóre z naszych linków, możemy otrzymać prowizję. Zobacz jak WPBeginner jest finansowany, dlaczego to ma znaczenie i jak możesz nas wspierać. Oto nasz proces redakcyjny.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Najlepszy zestaw narzędzi WordPress

Uzyskaj BEZPŁATNY dostęp do naszego zestawu narzędzi - zbiór produktów i zasobów związanych z WordPressem, które każdy profesjonalista powinien mieć!

Reader Interactions

47 komentarzyZostaw odpowiedź

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Jiří Vaněk

    Thank you for the snippet. In the end, I disabled XML-RPC using WPCode because it seemed like the easiest way, and I can also easily revert XML-RPC back. Great!

  3. Pete Mason

    in htaccess, the line:
    allow from 123.123.123.123
    Looks like it wants to be edited with my IP address. But this is not stated anywhere —?

  4. Christine

    Is there a difference between disabling and blocking?

    • WPBeginner Support

      Blocking would attempt to limit access to the feature while disabling would turn it off completely. If you disable it you wouldn’t need to worry about someone accessing it through a different method.

      Administrator

  5. Rashmi K

    The recomnended plugin Disable XML-RPC has not been updated since last 2 years. It says the plugin has not been tested with the last 3 releases of wordpress.

  6. Nikhil

    Hi,

    Will disabling the xmlrpc.php access also disable the access to wordpress apis used for android/ios app development?

    • WPBeginner Support

      That would depend on the API being used by the apps themselves.

      Administrator

  7. Vyom

    Found the solution:
    Adding following information in nginx config:
    # nginx block xmlrpc.php requests
    location /xmlrpc.php {
    deny all;
    }

  8. Vyom

    I use nginx instead of Apache. Can I still use .htaccess on my site?
    And do I need to store this file in public_html directory, or one level above it?

    • WPBeginner Support

      If you’re using nginx then you would not be able to use htaccess

      Administrator

      • Vyom

        Thanks for the reply. So is there an alternative for nginx?

        • WPBeginner Support

          You would add the site-specific plugin or the plugin from earlier in the article.

  9. Chinecherem Somto

    hi, is it on the .htaccess file on the website root that i will paste the code?

    • WPBeginner Support

      Yes, the .htaccess in your site’s root folder is where you would add the .htaccess code :)

      Administrator

  10. Mojtaba Rezaeian

    Thank you author.

  11. Bapi

    How to use multiple ip or a ip range like 123.123.123.1, 2, 3, …… 100,101

  12. malcolm

    why would we allow 123.123.123.123 ?

    If we aren’t using the service at all, why not let „deny all” be absolute?

    • Edward

      If i’m reading the code correctly;
      order deny,allow – puts deny before allow, since deny is 'all’ then allow isn’t processed
      deny from all – does what it says
      allow from 123.123.123.123 – is a place holder

      I gather that if you have a fixed IP address you could change order to „allow,deny” and replace 123.123.123.123 with your IP address. That would allow your IP then deny all others.

  13. David Hoy

    Thanks WP-Beginner, I’m trying to be baddest WP boy in my neighbourhood and this is exactly why I keep coming back to you guys, each question I have you say; here is the easy way, and here is the RIGHT way :-)

    Me an my .htaccess are going to have a little chat about htpasswrd and this here XMLRPC thingy my clients will never need.

    You all just made my corner of the net a little bit safer, as MailChimp would say: High Fives!

  14. Cezar

    Ok, i will use this code but i want IFTTT to have work on my website what i need to add?

    # Block WordPress xmlrpc.php requests

    order deny,allow
    deny from all
    allow from 123.123.123.123

  15. PhilB

    Hi,

    I have followed the instructions to block the xmlrpc.php file using .htaccess but im not sure if it is working.

    Im using wordfence security and in the live traffic view i can see the requests for the xmlrpc.php file have stopped, but if i check my access logs

    tail -f /apache2/logs/access_log

    I can still see the requests coming in, but the code at the end has changed from 500 to 403. Im concerned im getting a false report from my WordFence plugin and that im still being flooded with spam. Can anyone advise?

    Thanks,

    PhilB

    • David Hoy

      Oh yeah! Thats working perfectly, your XMLRPC is FORBIDDEN!

      HTTP Status Code 403: The server understood the request but refuses to authorize it.

  16. Raymundo

    I got a weird problem…

    I’m using my wordpress blogs with IFTTT and all worked fine, until I integrated it with MaxCDN; IFTTT immediately stopped working. I did some research and the problem might be related to XML-RPC that was de-activated.

    When I check my dashbord in „Settings” > „Writing” , I don’t see anything like XML-RPC, Remote Publishing, etc. I’ve checked database in options, also xml-rpc not available / missing.

    I need to activate XML-RPC to keep my IFTTT working.

    How do I re-activate XML-RPC; all I need is a script that I can add in .htaccess or functions.php to activate XML-RPC.

    And why am I missing the XML-RPC funtionality in my dashboard.

    Thank You!

  17. Muhammad Ammar Ashfaq

    I was searching for how to add this file xmlprc.php to my wordpress i am using 4.5.3 version and i came to this page. I need to add this php file because when i enable jetpack i got error of site_inaccessible. Please tell me hot to resolve this error my site is

    • WPBeginner Support

      Connect to your WordPress site using FTP client or File Manager in cPanel. In your website’s root directory look for xmlrpc.php file. If it is there, then try step 2. If it isn’t then download a fresh copy of WordPress. Unzip and extract it and upload xmlrpc.php file back to your site’s root directory.

      Step 2: Check your WordPress theme’s functions file for the code that disables XML-RPC.

      Step 3: Check your .htaccess and wp-config files.

      Administrator

  18. omonaija

    Please,what can i do to enable xmlrpc on my site?because i can’t login using wordpess mobile app on my smartphone..

  19. Mook

    Booyah! This WP filter fixed the script kiddie attack. I still firewalled the person, but I don’t have to watch the logs like a hawk to add more IPs to the firewall. THANK YOU.

      • Alex

        Is that because Sucuri acts like the Disable XMLRPC plugin?

        If so I can remove my Disable XMLRPC plugin,

        Thanks

        Alex

        • WPBeginner Support

          Sucuri acts like a firewall between your site and users. It blocks any suspicious activity before it could reach your website.

  20. Chad

    I’m totally onboard for disabling xmlrpc.php server wide in my /etc/httpd/conf/includes/pre_main_global.conf file. But I am left with this questions…is there a way to determine that a particular plugin „NEEDS” xmlrpc.php in order to work? I have concerns with blocking access to it and then having an issue 2 months down the road and not know that the issue is with the fact that I blocked xmlrpc.php previously.

    Are there any common signs to look for in a log file or such which would point to a xmlrpc.php block as the cause?

  21. Soumitra

    Hi, I just installed the plugin , Disable XML-RPC

    Lets see!

  22. Phranq

    Hey am using WordPress app to post with my android smartphone. Now I can’t login and my login credentials are correct. The response I got was ” we can’t log you in couldn’t connect to the WordPress site”.Could you help me fix this WordPress app login error.

    • WPBeginner Support

      If you had disabled XML RPC then you may not be able to login using WordPress mobile app. Look in your theme’s functions.php file for this code

      add_filter('xmlrpc_enabled', '__return_false');

      If it is there, then you need to remove it. You can also try deactivating plugins and turning them on one by one until you find the plugin that is stopping you from login using WordPress mobile app.

      Administrator

  23. Josiah

    It’s worth noting, that „allow from 123.123.123.123” is optional, and if used should be updated to include your IP, or the IP of the device that needs access to xmlrpc.php (it would be good to cite examples in this article).

  24. Natalie

    I am using GoodbyeCaptcha plugin to turn off the XML-RPC and works with no problem while Jetpack is activated.
    Hope it helps

  25. ATI

    Sorry, I’ve tried this method many times. It didn’t work for me – in fact it brought the front end down (blocking visitors read access to the web page) after adding these codes to the .htaccess file.

  26. Christopher Ross

    Keith, there’s a trend in WordPress to move non-theme related functions out of the functions.php file and into a „site specific plugin”, basically a plugin that you only activate on one unique website and it stores the non-theme related functions for that site.

    You can accomplish the same thing by placing the code in your functions.php file.

  27. Keith Davis

    Hi Guys
    Sorry to be a bit thick but could you expand on… „All you have to do is paste the following code in a site-specific plugin:”

    Which plugins are site specific?

Zostaw odpowiedź

Dziękujemy za pozostawienie komentarza. Pamiętaj, że wszystkie komentarze są moderowane zgodnie z naszymi polityka komentarzy, a Twój adres e-mail NIE zostanie opublikowany. NIE używaj słów kluczowych w polu nazwy. Przeprowadźmy osobistą i konstruktywną rozmowę.