XML-RPC — це функція WordPress, яка дозволяє зовнішнім додаткам взаємодіяти з вашим сайтом, наприклад, для публікації статей через мобільні додатки або сервіси автоматизації. Але, на жаль, ця технологія часто стає ціллю хакерів через вразливості до DDoS-атак і брутфорсу паролів.
Чому варто вимкнути XML-RPC?
- Зменшує ризик атак типу “Brute Force”.
- Блокує DDoS-атаки через метод
pingback. - Покращує загальну безпеку WordPress-сайту.
Спосіб 1: Вимкнення через плагін
Найпростіший спосіб – встановити безкоштовний плагін, наприклад Disable XML-RPC.
- Зайдіть у Плагіни → Додати новий.
- У полі пошуку введіть Disable XML-RPC.
- Встановіть та активуйте плагін.
- Готово — XML-RPC буде вимкнено без додаткових налаштувань.
Спосіб 2: Вимкнення через .htaccess
Цей метод підходить для досвідчених користувачів. Додайте наступний код у файл .htaccess в корені сайту:
# Заблокувати доступ до xmlrpc.php
< Files xmlrpc.php >
Order Allow,Deny
Deny from all
< /Files >Спосіб 3: Вимкнення через functions.php
Якщо ви хочете лише відключити XML-RPC без використання плагінів, додайте цей код у файл functions.php вашої теми:
add_filter( 'xmlrpc_enabled', '__return_false' );Як перевірити, чи вимкнено XML-RPC?
Скористайтесь онлайн-інструментом XML-RPC Checker. Просто введіть адресу сайту й отримайте результат.
Коли не варто вимикати XML-RPC?
Якщо ви використовуєте:
- мобільний додаток WordPress,
- Jetpack,
- зовнішні плагіни для публікації в блозі — переконайтесь, що вони не використовують XML-RPC перед вимкненням.
Висновок
Вимкнення XML-RPC — це один із простих способів підвищити безпеку WordPress-сайту. Якщо ви не користуєтесь зовнішніми сервісами, краще заблокувати цю функцію й уникнути потенційних ризиків. Безпека сайту — це не розкіш, а необхідність.
Потрібна допомога? Звертайтесь до команди InBiz