XML-RPC är ett kärn-API i WordPress som tillåter användare att ansluta till sin WordPress-webbplats med hjälp av tredjepartsappar, verktyg och tjänster. Tyvärr har hackare tidigare hittat sätt att utnyttja XML-RPC för att få åtkomst till WordPress-webbplatser.
På WPBeginner har vi hjälpt tusentals användare att säkra sina WordPress-webbplatser och hjälpt till att inaktivera XML-RPC. Vi fann att det finns olika sätt att gå tillväga, beroende på din tekniska kunskap.
Du kan till exempel inaktivera XML-RPC genom att komma åt .htaccess-filen eller genom att lägga till ett kodavsnitt. Under tiden, om du är nybörjare, finns det ett plugin som inaktiverar kärnfilen utan att behöva redigera kod.
I den här artikeln visar vi dig hur du enkelt inaktiverar XML-RPC i WordPress med olika metoder.
Vad är XML-RPC i WordPress?
XML-RPC är en kärn-API i WordPress som har varit aktiverad som standard sedan WordPress 3.5 släpptes 2012. Det tillåter utvecklare att använda XML och HTTPS-protokoll för att ansluta till och interagera med din WordPress-webbplats.
Kort sagt behöver du XML-RPC aktiverat för att komma åt och publicera din blogg externt, till exempel när du vill använda en mobilapp för att hantera din webbplats eller skapa kopplingar till automationsverktyg som Uncanny Automator eller Zapier.
Men om du inte använder mobilappar med din webbplats, kan vissa WordPress-säkerhetsexperter råda dig att inaktivera XML-RPC. Detta stänger en dörr som potentiellt kan utnyttjas för att hacka din webbplats.
Med det sagt, låt oss titta på hur man enkelt inaktiverar XML-RPC API i WordPress. Metoden med .htaccess är bäst eftersom den är minst resurskrävande, och de andra metoderna är enklare för nybörjare.
- Metod 1: Inaktivera WordPress XML-RPC med .htaccess (Avancerat)
- Metod 2: Inaktivera WordPress XML-RPC med en kodsnutt (rekommenderas)
- Metod 3: Inaktivera WordPress XML-RPC med ett plugin
- Testa att WordPress XML-RPC är inaktiverat
Metod 1: Inaktivera WordPress XML-RPC med .htaccess (Avancerat)
Den här metoden är för avancerade användare eftersom den kräver att du redigerar din webbplats .htaccess-fil. Vi rekommenderar att nybörjare använder metod 2 eller 3.
Detta sätt har flera fördelar, som möjligheten att ge fjärråtkomst till dig själv och ditt team samtidigt som du begränsar alla andra. Det kommer inte heller att negativt påverka din WordPress-prestanda eftersom det inaktiverar XML-RPC-förfrågningar innan de skickas vidare till WordPress.
Du måste lägga till följande kod i din .htaccess-fil. Du kan göra detta genom att ansluta till din webbplats med en FTP-klient eller filhanterare. Dessutom kan användare av All in One SEO använda pluginets inbyggda redigeringsverktyg för att lägga till kodavsnittet, som du kan se i skärmdumpen nedan.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
Om du vill ge en viss användare fjärråtkomst till din webbplats, ersätt helt enkelt '123.123.123.123' på rad 5 med deras IP-adress. Du kan lägga till flera IP-adresser genom att separera dem med mellanslag.
Eller, om du vill inaktivera XML-RPC helt, ta sedan bort rad 5 helt.
Notera: Om du inte kan hitta .htaccess, se vår guide om varför du inte kan hitta .htaccess på din WordPress-webbplats.
Metod 2: Inaktivera WordPress XML-RPC med en kodsnutt (rekommenderas)
Den här metoden kräver att du lägger till lite kod på din WordPress-webbplats. Om du inte har gjort det tidigare, ta en titt på vår guide om hur du kopierar och klistrar in anpassade kodavsnitt i WordPress.
WPCode är det enklaste och säkraste sättet att lägga till kod på din WordPress-webbplats. Det hjälper dig att hantera dina kodavsnitt och förhindrar att fel bryter din webbplats.
I den här metoden kommer vi att använda en av WPCode:s inbyggda kodsnuttar för att inaktivera XML-RPC.
Först måste du installera det kostnadsfria WPCode-pluginet. För steg-för-steg-instruktioner, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Vid aktivering, gå till Kodavsnitt » Lägg till kodavsnitt. WPCode-biblioteket innehåller redan ett kodavsnitt som inaktiverar XML-RPC. Du kan hitta det genom att söka efter 'xml.'
När du har hittat den måste du klicka på knappen 'Använd kodavsnitt'.
Därefter behöver du flytta växeln ‘Aktiv’ till läget ‘På’.
Slutligen, se till att du klickar på knappen 'Uppdatera' för att aktivera snippeten på din webbplats och inaktivera XML-RPC API.
Metod 3: Inaktivera WordPress XML-RPC med ett plugin
Detta är en enkel metod som kan användas om du inte vill lägga till några andra anpassningar på din webbplats med ett kodavsnittsplugin
Installera och aktivera bara pluginet Disable XML-RPC-API. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Pluginet fungerar direkt ur lådan och kommer omedelbart att inaktivera XML-RPC.
Du kan navigera till XML-RPC Security » XML-RPC Settings för att konfigurera pluginet. Du kan till exempel tillåta vissa användare att komma åt XML-RPC genom att vitlista deras IP-adresser.
Testa att WordPress XML-RPC är inaktiverat
Nu bör du kontrollera att du framgångsrikt har inaktiverat XML-RPC API på din WordPress-webbplats.
Du kan också kontrollera att XML-RPC är inaktiverat genom att helt enkelt besöka URL:en http://example.com/xmlrpc.php i din webbläsare. Se till att ersätta 'example.com' med din egen webbplats domännamn.
Om XML-RPC är inaktiverat bör du se felmeddelandet: 'Åtkomst nekad: Du har inte behörighet att komma åt den här resursen.'
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du enkelt inaktiverar XML-RPC i WordPress. Du kanske också vill se vår guide om hur du enkelt lägger till JavaScript i WordPress och bästa WordPress-utvecklingsverktyg.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Jiří Vaněk
Tack för snippeten. Till slut inaktiverade jag XML-RPC med WPCode eftersom det verkade vara det enklaste sättet, och jag kan också enkelt återaktivera XML-RPC. Bra!
Pete Mason
i htaccess, raden:
allow from 123.123.123.123
verkar som om den vill redigeras med min IP-adress. Men detta anges inte någonstans —?
Christine
Finns det någon skillnad mellan att inaktivera och blockera?
WPBeginner Support
Blockering skulle försöka begränsa åtkomsten till funktionen medan inaktivering skulle stänga av den helt. Om du inaktiverar den behöver du inte oroa dig för att någon får åtkomst till den via en annan metod.
Admin
Rashmi K
Det rekommenderade pluginet Disable XML-RPC har inte uppdaterats på de senaste 2 åren. Det står att pluginet inte har testats med de senaste 3 versionerna av WordPress.
WPBeginner Support
För vår ståndpunkt angående varningen om att det inte är testat, vill du titta på vår artikel nedan:
https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Nikhil
Hej,
Kommer inaktivering av xmlrpc.php-åtkomst också att inaktivera åtkomsten till wordpress-API:er som används för utveckling av Android/iOS-appar?
WPBeginner Support
Det skulle bero på API:et som används av apparna själva.
Admin
Vyom
Hittade lösningen:
Lägg till följande information i nginx-konfigurationen:
# nginx block xmlrpc.php requests
location /xmlrpc.php {
deny all;
}
Vyom
Jag använder nginx istället för Apache. Kan jag fortfarande använda .htaccess på min webbplats?
Och behöver jag lagra den här filen i public_html-katalogen, eller en nivå ovanför den?
WPBeginner Support
Om du använder nginx kan du inte använda htaccess
Admin
Vyom
Tack för svaret. Finns det alltså ett alternativ för nginx?
WPBeginner Support
Du skulle lägga till det webbplatsspecifika pluginet eller pluginet från tidigare i artikeln.
Chinecherem Somto
hej, är det i .htaccess-filen i webbplatsens rot som jag klistrar in koden?
WPBeginner Support
Yes, the .htaccess in your site’s root folder is where you would add the .htaccess code
Admin
Mojtaba Rezaeian
Tack författare.
WPBeginner Support
You are welcome Mojtaba
Admin
Bapi
Hur använder man flera IP-adresser eller ett IP-intervall som 123.123.123.1, 2, 3, …… 100,101
malcolm
varför skulle vi tillåta 123.123.123.123 ?
Om vi inte använder tjänsten alls, varför inte låta "neka alla" vara absolut?
Edward
Om jag läser koden rätt;
order deny,allow – sätter deny före allow, eftersom deny är 'all' och allow då inte bearbetas
deny from all – gör vad det står
allow from 123.123.123.123 – är en platshållare
Jag förstår att om du har en fast IP-adress kan du ändra ordningen till "tillåt, neka" och ersätta 123.123.123.123 med din IP-adress. Det skulle tillåta din IP och sedan neka alla andra.
David Hoy
Thanks WP-Beginner, I’m trying to be baddest WP boy in my neighbourhood and this is exactly why I keep coming back to you guys, each question I have you say; here is the easy way, and here is the RIGHT way
Jag och min .htaccess ska ha ett litet samtal om htpasswrd och den här XMLRPC-grejen som mina kunder aldrig kommer att behöva.
Ni gjorde alla min del av nätet lite säkrare, som MailChimp skulle säga: High Fives!
WPBeginner Support
Hej David,
Thanks for the kind words. We are glad you find WPBeginner helpful
Admin
Cezar
Ok, jag kommer att använda den här koden men jag vill att IFTTT ska fungera på min webbplats, vad behöver jag lägga till?
# Blockera WordPress xmlrpc.php-förfrågningar
order deny,allow
deny from all
allow from 123.123.123.123
PhilB
Hej,
Jag har följt instruktionerna för att blockera xmlrpc.php-filen med .htaccess men jag är inte säker på om det fungerar.
Jag använder Wordfence Security och i live traffic-vyn kan jag se att förfrågningarna till xmlrpc.php-filen har upphört, men om jag kontrollerar mina åtkomstloggar
tail -f /apache2/logs/access_log
Jag kan fortfarande se förfrågningarna komma in, men koden i slutet har ändrats från 500 till 403. Jag är orolig att jag får en falsk rapport från mitt WordFence-plugin och att jag fortfarande översvämmas av skräppost. Kan någon ge råd?
Tack,
PhilB
David Hoy
Åh ja! Det fungerar perfekt, din XMLRPC är FÖRBJUDEN!
HTTP-statuskod 403: Servern förstod begäran men vägrar att auktorisera den.
Raymundo
Jag har ett konstigt problem...
Jag använder mina WordPress-bloggar med IFTTT och allt fungerade bra, tills jag integrerade det med MaxCDN; IFTTT slutade omedelbart att fungera. Jag gjorde lite research och problemet kan vara relaterat till XML-RPC som deaktiverades.
När jag kontrollerar min instrumentpanel under “Inställningar” > “Skrivande”, ser jag inget som XML-RPC, Fjärrpublicering, etc. Jag har kontrollerat databasen i alternativ, även xml-rpc finns inte tillgängligt / saknas.
Jag behöver aktivera XML-RPC för att min IFTTT ska fungera.
Hur återaktiverar jag XML-RPC; allt jag behöver är ett skript som jag kan lägga till i .htaccess eller functions.php för att aktivera XML-RPC.
Och varför saknar jag XML-RPC-funktionaliteten i min instrumentpanel.
Tack!
Muhammad Ammar Ashfaq
Jag sökte efter hur man lägger till denna fil xmlprc.php till min wordpress, jag använder version 4.5.3 och kom till den här sidan. Jag behöver lägga till den här php-filen eftersom när jag aktiverar jetpack får jag ett felmeddelande om att webbplatsen inte går att nå. Vänligen berätta hur jag löser detta fel, min webbplats är
WPBeginner Support
Anslut till din WordPress-webbplats med en FTP-klient eller filhanteraren i cPanel. Leta efter filen xmlrpc.php i din webbplats rotkatalog. Om den finns där, prova steg 2. Om den inte finns, ladda ner en ny kopia av WordPress. Packa upp och extrahera den och ladda upp filen xmlrpc.php tillbaka till din webbplats rotkatalog.
Steg 2: Kontrollera din WordPress-temas funktionsfil för koden som inaktiverar XML-RPC.
Steg 3: Kontrollera dina .htaccess- och wp-config-filer.
Admin
omonaija
Snälla, vad kan jag göra för att aktivera xmlrpc på min sida? eftersom jag inte kan logga in med wordpress mobilapp på min smartphone..
WPBeginner Support
Om du använder ett säkerhetsplugin på din WordPress-webbplats, kontrollera dess inställningar.
Admin
Mook
Booyah! Detta WP-filter fixade script kiddie-attacken. Jag brandväggade fortfarande personen, men jag behöver inte titta på loggarna som en hök för att lägga till fler IP-adresser i brandväggen. TACK.
WPBeginner Support
Det är därför vi använder Sucuri.
Admin
Alex
Är det för att Sucuri fungerar som pluginet Disable XMLRPC?
Om så är fallet kan jag ta bort mitt Disable XMLRPC-plugin,
Tack
Alex
WPBeginner Support
Sucuri fungerar som en brandvägg mellan din webbplats och användare. Den blockerar all misstänkt aktivitet innan den når din webbplats.
Chad
Jag är helt med på att inaktivera xmlrpc.php serverbrett i min fil /etc/httpd/conf/includes/pre_main_global.conf. Men jag sitter kvar med dessa frågor…finns det ett sätt att avgöra om ett visst plugin “BEHÖVER” xmlrpc.php för att fungera? Jag är orolig för att blockera åtkomsten till det och sedan ha ett problem om 2 månader och inte veta att problemet beror på att jag tidigare blockerade xmlrpc.php.
Finns det några vanliga tecken att leta efter i en loggfil eller liknande som skulle peka på ett xmlrpc.php-block som orsak?
Soumitra
Hej, jag har precis installerat pluginet, Inaktivera XML-RPC
Låt oss se!
Phranq
Hej, jag använder WordPress-appen för att posta med min Android-smartphone. Nu kan jag inte logga in och mina inloggningsuppgifter är korrekta. Svaret jag fick var "vi kan inte logga in dig, kunde inte ansluta till WordPress-webbplatsen". Kan du hjälpa mig att fixa det här inloggningsfelet i WordPress-appen.
WPBeginner Support
Om du hade inaktiverat XML RPC kanske du inte kan logga in med WordPress mobilapp. Leta i din temas functions.php-fil efter denna kod
add_filter('xmlrpc_enabled', '__return_false');1-click Use in WordPress
Om den finns där, måste du ta bort den. Du kan också prova att inaktivera plugins och aktivera dem en efter en tills du hittar det plugin som hindrar dig från att logga in med WordPress mobilapp.
Admin
Josiah
Det är värt att notera att "allow from 123.123.123.123" är valfritt, och om det används bör det uppdateras för att inkludera din IP, eller IP-adressen för enheten som behöver åtkomst till xmlrpc.php (det vore bra att citera exempel i den här artikeln).
Natalie
Jag använder GoodbyeCaptcha-pluginet för att stänga av XML-RPC och det fungerar utan problem medan Jetpack är aktiverat.
Hoppas det hjälper
ATI
Tyvärr, jag har provat den här metoden många gånger. Det fungerade inte för mig – faktum är att det fick frontend att krascha (blockerade besökares läsåtkomst till webbsidan) efter att ha lagt till dessa koder i .htaccess-filen.
Gretchen Louise
Förhindrar inaktivering på detta sätt detta problem? http://theaffluentblogger.com/operating-a-website/wordpress-xmlrpc-php-vulnerability-affects-shared-hosting-sites/ Jag har en vän vars webbplats ständigt kraschar på grund av att hennes xmlrpc-fil attackeras.
Redaktionell personal
Ja, det kommer att förhindra attacken till viss del.
Admin
Christopher Ross
Keith, det finns en trend inom WordPress att flytta funktioner som inte är relaterade till temat ur functions.php-filen och in i ett "webbplatsspecifikt plugin", i princip ett plugin som du bara aktiverar på en unik webbplats och det lagrar de icke-temarelaterade funktionerna för den webbplatsen.
Du kan uppnå samma sak genom att placera koden i din functions.php-fil.
Keith Davis
Tack Chris
Det ser ut som att ni redan har täckt det.
https://www.wpbeginner.com/beginners-guide/what-why-and-how-tos-of-creating-a-site-specific-wordpress-plugin/
F.ö. – vad har hänt med ert kommentarsystem?
Var det Livefyre då, något relaterat till Twitter och Facebook, och nu?
Keith Davis
Hej alla
Förlåt att jag är lite dum men kan ni utveckla... "Allt du behöver göra är att klistra in följande kod i ett webbplatsspecifikt plugin:"
Vilka plugins är webbplatsspecifika?