WordPress 초기에는 웹사이트와 원격으로 상호작용할 수 있는 기능이 있었습니다. 이러한 동일한 특성으로 인해 다른 블로거가 액세스할 수 있도록 허용하여 커뮤니티를 구축할 수 있었습니다. 블로그. 이를 위해 사용되는 주요 도구는 " XML-RPC ".
« XML-RPC 또는 XML 원격 프로 시저 호출 워드 프레스에 큰 힘을줍니다 :
- 스마트 폰으로 사이트에 연결
- 트랙백 및 핑백 블로그
- Jetpack의 고급 사용
그러나 " XML-RPC ", 귀하의 보안을 유지하기 위해 해결해야 하는 워드 프레스 블로그.
WordPress에서 XML-RPC를 사용하는 방법
의 초기에 다시 가자 블로깅 "(글쎄 WordPress 전에), 인터넷상의 대부분의 저자는 전화 접속 웹 서핑. 기사를 작성하고 온라인으로 보내는 것이 어려웠습니다. 해결책은 오프라인으로 컴퓨터에 쓰고 " 복사기 / coller 당신의 기사. 이 방법을 사용한 사람들은 문서가 HTML 형식으로 저장된 경우에도 텍스트에 종종 외국 코드가 있기 때문에 특히 어렵다는 것을 알게되었습니다.
Blogger에서 애플리케이션 프로그래밍 인터페이스 (API)을 사용하여 다른 개발자가 Blogger 블로그에 액세스 할 수 있습니다. 사용자가 오프라인으로 기사를 작성한 다음 XML-RPC를 통해 Blogger API에 연결할 수 있도록 웹 사이트의 이름을 지정하는 것으로 충분했습니다. 다른 블로깅 시스템도 그 뒤를 따랐고 궁극적으로 기본적으로 액세스를 표준화하는 MetaWeblogAPI가있었습니다.
XNUMX년 후, 대부분의 애플리케이션은 휴대폰과 태블릿에 있습니다. 사람들이 휴대전화로 하고 싶어하는 것 중 하나는 워드 프레스 블로그. 2008-09년에 Automattic은 거의 모든 모바일 운영 체제(동일한 Blackberry 및 Windows Mobile).
이러한 애플리케이션은 XML-RPC 인터페이스를 통해 WordPress.com 자격 증명을 사용하여 특정 액세스 권한이있는 WordPress 사이트에 연결할 수 있습니다.
XML-RPC를 잊어야하는 이유는 무엇입니까?
와의 호환성 XML-RPC 첫날부터 WordPress의 일부였습니다. WordPress 2.6은 15 년 2008 월 XNUMX 일에 출시되었으며 " XML-RPC 워드 프레스 설정에 추가되었으며 기본값은 " 떨어져서 ".
일주일 후, 아이폰 용 워드 프레스 버전이 출시되었고 사용자들은이 기능을 활성화하라는 요청을 받았습니다. iPhone 앱이 가족에 합류 한 지 3.5 년 후 WordPress XNUMX에서 " XML-RPC ".
XML-RPC와 관련된 주요 약점은 다음과 같습니다.
- 무차별 대입 공격 : 공격자는 사용자 이름과 암호를 최대한 많이 조합하여 xmlrpc.php를 사용하여 WordPress에 로그인하려고합니다. 테스트 제한이 없습니다. xmlrpc.php의 메소드는 공격자가 단일 명령 (system.multicall) 수백 개의 암호를 추측 할 수 있습니다.
- Pingback을 통한 서비스 거부 공격
편의성 vs. WordPress 보안
자, 다시갑니다. 현대 세계는 타협으로 깊이 지루합니다.
보트에 폭탄을 가져 오는 사람이 없는지 확인하려면 금속 탐지기를 통해 실행하면됩니다. 쇼핑하는 동안 차를 보호하려면 문을 잠그고 창문을 닫으십시오. 웹 사이트 비밀번호를 사용하여 보호 할 수는 없습니다 (자동차 창문이 충분한 보호를 제공합니까?) 특히 Jetpack 또는 모바일 앱을 사용하는 경우
WordPress에서 XML-RPC를 비활성화하는 방법
따라서 XML-RPC에 의존하는 이러한 모든 도구에 의존하게되었습니다. 잠시라도 "XML-RPC"를 끄고 싶지 않다는 것을 이해합니다.
그러나 다음은이를 수행하는 데 도움이되는 몇 가지 플러그인입니다.
- XML-RPC 공격 중지 : Jetpack 및 기타 Automattic 도구 만 .htaccess를 통해 xmlrpc.php에 액세스 할 수 있습니다.
- XML-RPC 게시 제어: 단순히 이전 원격 게시 옵션을 쓰기 옵션으로 되돌립니다.
- iThemes Security, 맬웨어 방지 보안 과 무차별 공격 방화벽 et 올인원 WP 보안 및 방화벽이러한 범용 보안 도구에는 무료 버전의 무차별 보호 기능이 포함되어 있습니다. xmlrpc.php의 유무에 관계없이 반복적 인 로그인 시도를 감시하고 사이트를 침입하려는 쿼리로부터 사용자를 보호합니다.
구조에 대한 REST (및 OAuth)
이제 WordPress 개발자가 REST 솔루션으로 전환하고 있음을 알 수 있습니다. REST API 팀의 개발자는 XML-RPC 문제를 해결하기위한 인증 코인을 포함하여 준비하는 데 몇 가지 문제가있었습니다. 이것이 마침내 구현되면 (4.7의 끝에서 현재 WordPress 2016로 예약 됨)의 경우 JetPack과 같은 소프트웨어에 연결하기 위해 XML-RPC를 사용할 필요가 없습니다.
대신 OAuth 프로토콜을 통해 인증합니다. OAuth 프로토콜이 무엇인지 모르는 경우 웹 사이트에서 Google, Facebook 또는 Twitter로 로그인하라는 메시지가 표시 될 때 발생하는 상황을 기억하십시오. 일반적으로 이러한 플랫폼에서 사용되는 프로토콜은 OAuth입니다.
WordPress REST API 테스트
앞서 말했듯이 REST API는 아직 워드 프레스 코어에 통합되지 않았으며 몇 달 동안 지원되지 않을 것입니다. 이제 테스트 환경에서 테스트를 시작할 수 있습니다.
Rest API는 확실히 WordPress의 미래가 될 것입니다. 구현을 시작하는 방법에 대한 아이디어를 제공하는 후자에 대한 여러 자습서를 이미 작성했습니다.
이것이 이 튜토리얼의 전부입니다. XML-RPC 사용과 관련된 위험에 대해 더 잘 알고 있기를 바랍니다. 주저하지 마시고 문의주세요. 형태 코멘트.
