Eseguire un'applicazione PHP che utilizza XML-RPC? Scopri come fermare gli attacchi XML-RPC e migliorare la reattività del tuo sito web, le prestazioni/l'utilizzo delle risorse.
Se stai eseguendo un'applicazione PHP che utilizza XML-RPC, prendi in considerazione la possibilità di bloccare queste richieste o almeno limitare le richieste a un elenco di IP preapprovato.
Questo non solo rafforza la sicurezza del tuo sito web, ma migliorerà anche la reattività del tuo sito web, le prestazioni/l'utilizzo delle risorse.
Ma cos'è XML-RPC e cosa ha a che fare con il tuo sito web o blog?
Il protocollo XML-RPC è stato creato da Dave Winer , Mohsen Agsen, Bob Atkinson e Chris Aldrich nel 1998.
I primi tre hanno lavorato presso Microsoft e Chris Aldrich presso UserLand.
XML-RPC offre ai sistemi esterni un modo per comunicare con un sito con HTTP che funge da meccanismo di trasporto e XML come meccanismo di codifica.
È diventato popolare perché era così semplice e precoce.
Sono state implementate in tutte le principali lingue e ambienti.
Ad esempio, è stato integrato in Python e nel sistema operativo Macintosh. Le principali API di blogging sono state realizzate in XML-RPC.
In PHP, XMLRPC è l'estensione che ha portato le funzionalità di server e client RPC XML in PHP.
L'estensione però è stata disaggregata in PHP 8.0 perché la libreria e le sue dipendenze non sono state aggiornate da diversi anni.
Molti sistemi di gestione dei contenuti utilizzano XML-RPC incluso WordPress.
In WordPress, il supporto XML-RPC ti consente di pubblicare sul tuo blog WordPress utilizzando molti client weblog popolari.
Puoi vedere l'URL completo visitando https://webcomm.dev/xmlrpc.php (dove “webcomm.dev” è il nome del tuo dominio WordPress).
Consente inoltre ad altri siti Web di interagire con il tuo sito Web WordPress.
Ma spesso, non ne hai bisogno o potresti anche non essere consapevole che esiste come opzione.
Oltre al fatto che l'estensione è stata eliminata a partire da PHP 8.0, le richieste XML-RPC possono anche essere usate come armi per far sì che il tuo sito web risponda lentamente o addirittura impedirgli di rispondere.
Questo viene spesso fatto forzando il file per causare il rallentamento del sito Web mentre tenta di rispondere a tutti i pingback e i trackback.
Uno dei metodi semplici per evitare che ciò ti danneggi è assicurarsi che il server web che ospita l'applicazione utilizzi Mod Security.
ModSecurity è un Web Application Firewall (WAF) che aiuta con comuni attacchi basati sul Web come SQL injection, DOS e altri tipi di attacchi HTTP comuni.
I clienti che ospitano i loro siti Web/applicazioni su Web Hosting Magic può utilizzare ModSecurity per mitigare tali attacchi.
Ma mentre sei protetto, la sicurezza è sempre stata uno sforzo collettivo.
È l'unico modo per farlo funzionare come previsto.
Il modo più semplice per proteggere meglio il tuo sito Web/applicazione è disabilitare le richieste tramite il tuo .htaccess.
Puoi farlo modificando il file tramite il File Manager di cPanel o un terminale SSH.
- In primo luogo, accedi al tuo account cPanel.
- Trova i File sezione e fai clic su Gestione file .
- Questo ti porterà al public_html del tuo account (o alla radice del documento del contenuto del tuo sito web).
- Modifica .htaccess o crea un nuovo file chiamato .htaccess e incolla il seguente codice nel file:
# Block xmlrpc.php requests using the files directive <Files xmlrpc.php> Require all denied # Require ip $xxx.xxx.xxx.xxx </Files> ======== OR ======== # Block xmlrpc.php requests using the filesmatch directive (preferred) <FilesMatch "^xmlrpc\.php$"> Require all denied # Require ip $xxx.xxx.xxx.xxx </FilesMatch>
Puoi visitare https://cdn.webhostingmagic.com/knowledgebase/disallow_xmlrpc.txt per scaricarlo come testo normale.
Se desideri consentire richieste XML-RPC da un IP particolare, sostituisci $xxx.xxx.xxx.xxx con l'indirizzo IP.
Salva e chiudi il file.
Se non sai come modificare o creare un file .htaccess, puoi aprire un ticket di supporto con il nostro team per aiutarti a farlo.
Se utilizzi WordPress, puoi utilizzare un plug-in per ottenere lo stesso risultato.
Tuttavia, incoraggiamo sempre i clienti a utilizzare meno plug-in anziché di più.
Per farlo:
- Accedi al tuo wp-admin
- Visita i Plugin>> Aggiungi nuovo sezione.
- Cerca Disabilita XML-RPC .
- Installa il plug-in.
I nostri server dedicati, macchine virtuali private o clienti VPS possono visitare il portale di supporto e richiedere che "xmlrpc.php" sia disabilitato a livello di server.
Ci auguriamo che questo breve tutorial ti aiuti a proteggere meglio il tuo sito Web dagli attacchi e dagli exploit XML-RPC.
Per ulteriori informazioni su PHP XML-RPC, visitare http://www.xmlrpc.com/