Aqbeż għall-kontenut Main

Vulnerabilità Pingback: Kif Ipproteġi s-Sit WordPress Tiegħek

Pingbacks jistgħu jagħtuk heads-up meta persuni differenti jkunu qed jitkellmu dwar il-karigi tiegħek. Jistgħu wkoll jippreżentaw Search Engine Optimization (search engine optimization) żieda permezz ta 'backlinks ta' benefiċċju, u jtejbu l-għarfien espert tal-klijent tal-websajt tiegħek. Madankollu, pingbacks jistgħu wkoll jgħinu lill-hackers iniedu attakki ta 'Ċaħda ta' Servizz Distribwit (DDoS) b'oppożizzjoni għall-websajt tiegħek.

Fortunatament, meta tiddetermina li l-perikli huma ferm akbar mill-vantaġġi, huwa possibbli li tiddiżattiva l-pingbacks. Billi timblokka l-proċess XML-RPC li jagħti poter lil din il-karatteristika kontroversjali ta 'WordPress, tista' tipproteġi l-websajt tiegħek f'oppożizzjoni għal attakki DDoS u żżomm il-bogħod mill-waqfien.

F'dan it-test, ser nagħtu ħarsa lejn għaliex pingbacks jistgħu wkoll ipoġġu l-websajt tiegħek fil-periklu, u kif wieħed jista 'jeżamina jekk XML-RPC huwiex attivat jew le fuq il-websajt speċifika tiegħek ta' WordPress. Aħna mbagħad naqsmu tliet strateġiji biex ineħħu din il-prestazzjoni potenzjalment perikoluża. Ejja nibdew!

Introduzzjoni għall-pingbacks ta 'WordPress

Pingbacks huma notifiki li jidhru fil-websajt tiegħek kummenti taqsima. Huma jindikaw li websajt waħda oħra reġgħet rabtet mal-materjal tal-kontenut tiegħek:

Eżempju ta 'pingback.

Fil-WordPress, il-pingbacks huma attivati ​​awtomatikament. Dan jgħinek tissorvelja hyperlinks deħlin. Imbagħad tista 'twieġeb għal kull pingback kif xieraq. Pereżempju, tista 'tieħu din l-opportunità li jkollok interazzjoni mal-provvista tal-backlink fil-parti tal-feedback ta' waħda fil-karigi kollha tagħhom. Dan jista 'jgħin ukoll ibni r-reputazzjoni tiegħek bħala kreatur ta 'materjal ta' kontenut pjaċevoli u avviċinabbli.

Barra minn hekk, jekk websajt oħra ssemmi l-materjal tal-kontenut tiegħek b'mod pożittiv, hija d-deċiżjoni tiegħek li oħrajn jitgħallmu dwarha. Tista 'tkabbar il-pubblikazzjoni tagħhom billi taqsamha permezz tal-individwu tiegħek social network.

Sfortunatament, m'hemm l-ebda assigurazzjoni li kull wieħed isemmi x'aktarx ikun kostruttiv. Madankollu, normalment tista 'ttejjeb il-profil pubbliku tiegħek billi jirrispondu għall-imsemmija negattivi, relattivament milli sempliċement jinjorahom.

Pingbacks jistgħu wkoll issuq traffiku lejn il-websajt tiegħek, billi n-nies jikkonformaw ma 'dawn il-hyperlinks deħlin għall-materjal tal-kontenut tiegħek. Barra minn hekk, il-backlinks huma kwistjoni ta 'klassifikazzjoni għal ħafna serps. Jekk tieħu ħsieb bosta pingbacks sikuri, jista 'jżid il-klassifiki u l-viżitaturi naturali tiegħek.

Sfortunatament, il-pingbacks għandhom aspett skur. WordPress jagħmel użu mill - Interface XML-RPC biex tippermettilhom, liema hackers jistgħu, flip, jisfruttaw biex jagħmlu attakk ta 'Ċaħda ta' Servizz Distribwit (DDoS) kontra l-websajt tiegħek.

Bħala parti minn dan l-attakk, hacker jagħmel użu minn XML-RPC biex jibgħat ħafna pingbacks lill-websajt tiegħek fi żmien qasir. Dan jgħabbi żżejjed lis-server tiegħek u jħabbat il-websajt tiegħek offline. Ir-riżultati jistgħu jinkorporaw waqfien għali u tonqos rati ta 'konverżjoni.

Il-hackers jistgħu jużaw ukoll pingbacks biex jiżvelaw l-indirizz IP tal-pubbliku ġenerali ta 'WordPress protett imwaqqaf u jevitaw kwalunkwe sigurtà ta' livell ta 'Sistema ta' Isem ta 'Dominju (DNS). Xi avvenimenti malizzjużi saħansitra jużaw pingbacks biex jiskennjaw għal portijiet miftuħa dgħajfa. B'dan kollu fil-ħsibijiet, huwa possibbli li tkun tixtieq tqis li tiddiżattiva din il-karatteristika fuq il-websajt WordPress tiegħek.

Kif teżamina XML-RPC fil-websajt tiegħek biex tara jekk il-pingbacks humiex attivati

Minn WordPress 3.5, l-interface XML-RPC ġiet attivata awtomatikament. Madankollu, m'hemm l-ebda assigurazzjoni li dan jista 'jibqa' l-każ f'varjazzjonijiet sussegwenti ta 'WordPress. Jekk qed taqsam il-websajt WordPress tiegħek ma ' kollaboraturi oħra, hemm ukoll opportunità li setgħu mmodifikaw is-settings XML-RPC tiegħek mingħajr id-dejta tiegħek.

Qabel ma tiddiżattiva l-XML-RPC, huwa dejjem il-valur li tivverifika li din l-interface hija attivata fuq il-websajt speċifika tiegħek ta 'WordPress. Tista 'malajr u sempliċement teżamina l-pożizzjoni tagħha billi tuża l- Għodda tal-Validatur XML-RPC:

L-għodda ta 'Validazzjoni XML-RPC.

Fil- indirizz żona, daħħal il-URL tal-websajt tiegħek. Imbagħad ikklikkja fuq Iċċekkja. Jekk it-tagħmir tal-Validatur juri messaġġ ta 'żball, dan jimplika li XML-RPC huwa diżattivat. Jekk tiltaqa 'ma' messaġġ ta 'suċċess, huwa possibbli li tkun tixtieq tieħu kont ta' diżattivazzjoni ta 'pingbacks bl-intenzjoni li tipproteġi l-websajt tiegħek b'oppożizzjoni għal attakki assoċjati.

Kif tħares il-websajt tiegħek kontra l-vulnerabbiltà pingback ta 'WordPress (3 metodi)

WordPress jagħmilha sempliċi li tiddiżattiva l-pingbacks fuq postijiet futuri. Sempliċement tinnaviga lejn Settings> Diskussjoni fid-daxxbord tiegħek u neżelezzjona l-għażliet relatati:

L-issettjar tad-diskussjoni pingback.

Tista 'wkoll tiddiżattiva l-pingbacks għal postijiet partikolari fl-editur:

L-issettjar tal-pingback wara l-livell.

Madankollu, bl-intenzjoni li tiddiżattiva totalment il-pingbacks fil-websajt kollha tiegħek, ikollok tieħu xi passi oħra. Hemm ftit modi oħra kif tista 'tmur dwar dan billi tiddependi fl-għanijiet u l-istadju tat-talent tiegħek.

Metodu 1: Itfi l-XML-RPC manwalment

Tista 'timblokka t-talbiet kollha li jidħlu XML-RPC qabel ma jiġu mogħtija lil WordPress. Din it-teknika teħtieġek teditja . Htaccess, li huwa fajl ta 'konfigurazzjoni li jgħid lis-server tiegħek issir taf kif tittratta bosta talbiet. Jekk m'intix immodifikat biex timmodifika l-websajt tiegħek fl-istadju tal-kodiċi, nissuġġerixxu li tipprova waħda mill-ħafna strateġiji differenti taħt.

Qabel ma timmodifika tiegħek . Htaccess fajl, huwa kunċett għaqli li toħloq backup sħiħ. Anke żbalji faċli simili għal typos se jkunu diżastrużi meta timmodifika l-kodiċi tal-websajt tiegħek. Billi tagħmel backup, ikollok ħaġa waħda biex terġa 'titqajjem, sempliċement f'każ li tiltaqa' ma 'xi punti.

Tista 'tidħol . Htaccess billi tuża l-iktar ħaġa li tħobb Protokoll ta 'Trasferiment ta' Fajls (FTP) konsumatur. Aħna ser nużaw FileZilla, madankollu l-passi jeħtieġ li jkunu fil-biċċa l-kbira identiċi għal strumenti mifruxa differenti. Ladarba l-konsumatur tiegħek ikun relatat mas-server tiegħek, sib . Htaccess fil-folder tal-għeruq tal-websajt tiegħek:

Aċċess għal .htaccess permezz ta 'FileZilla.

Jekk il-folder bażi ma tinkludix . Htaccess fajl, huwa possibbli li int tkun trid tagħżel il-konsumatur tiegħek Forza li turi informazzjoni moħbija possibbiltà.

Sussegwentement, miftuħa . Htaccess f'editur ta 'kontenut testwali, simili għal Text Edit. Żid dak li jmiss:

<Files xmlrpc.php>
order deny,enable
deny from all
</Files>

Imbagħad issalva l-aġġustamenti tiegħek. Biex tikkonferma li XML-RPC issa huwa diżattivat, ipprova ħadem it-tagħmir nett tiegħek mill-apparat tal-Validatur XML-RPC għal darb'oħra. Issa għandu juri messaġġ ta 'żball.

Metodu 2: Itfi l-pingbacks bi framment tal-kodiċi

Tista 'wkoll taqleb l-interface XML-RPC mixgħul u mitfi billi tuża siltiet tal-kodiċi. Siltiet tal-kodiċi huma approċċ ta 'għajnuna sabiex iżżid firxa ta' funzjonalitajiet mal-websajt tiegħek mingħajr ma jkollok tpoġġi numru ta 'plugins. Il-minimizzazzjoni tal-varjetà ta 'plugins fil-websajt tiegħek tista' tagħmilha aktar faċli biex tinżamm u jista 'wkoll ittejjeb is-sigurtà ġenerali tagħha.

Il-klijenti ManageWP jistgħu jżidu siltiet tal-kodiċi direttament mid-daxxbords tagħhom. Wara tidħol fil-kont tiegħek, Innaviga għal Aktar Għodda> Siltiet tal-Kodiċi:

Li ddaħħal siltiet ta 'pingback fid-daxxbord ManageWP.

Issa tista 'twaħħal il-kodiċi li jmiss fl-editur tas-siltiet tal-kodiċi ta' ManageWP:

<?php
//Disable XML-RPC
add_filter('xmlrpc_enabled', '__return_true');

Inkella, tista 'żżid dan is-snippet mal-websajt tiegħek billi tuża l-websajt Plugin tal-Kodiċi Snippets. Wara li tattivaha, immur lejn Snippet> Żid Ġdid:

Il-plugin tal-WordPress Code Snippet.

Imbagħad ikkopja u twaħħal is-snippet ta 'hawn fuq fl-editur tal-kodiċi. Aħna nissuġġerixxu wkoll li tinkludi deskrizzjoni li tispjega b'mod ċar x'jagħmel dan is-snippet, u għaliex qed tinkludih fil-websajt tiegħek. Dan jista 'jagħmel ħajtek aktar sempliċi meta qatt ikollok terġa' żżur is-siltiet tal-kodiċi tiegħek. Barra minn hekk tippromwovi t-trasparenza meta tkun qed taqsam il-websajt WordPress tiegħek ma 'nies differenti.

Meta tkun kompletament kuntent flimkien mas-siltiet tiegħek, ikklikkja fuq jattiva u eżamina li XML-RPC huwa diżattivat billi tuża l-Validatur XML-RPC.

Metodu 3: Uża plugin biex tiddiżattiva XML-RPC

Fl-aħħarnett, tista 'wkoll tiddiżattiva l-interface XML-RPC billi tuża plugin. Aħna ser nużaw Itfi l-XML-RPC-API.

Wara li ddaħħalha u tattivaha, Itfi l-XML-RPC-API se taqleb il-pingbacks bl-ebda mozzjoni addizzjonali meħtieġa minnek. Int ser ikollok messaġġ ta 'affermazzjoni fuq plugins display screen:

Il-messaġġ ta 'konferma tal-plugin Disable XML-RPC-API.

Jekk tiddetermina li inti sempliċement tixtieq li ddawwar XML-RPC għal darb'oħra fuq, kull ma trid tagħmel hu li tiddiżattiva l-plugin.

konklużjoni

Filwaqt li hemm xi pożittivi għall-pingbacks, huma ser jesponu wkoll il-websajt tiegħek għal attakki ta 'Ċaħda Distribwita tas-Servizz (DDoS) li jagħmlu l-ħsara. Attakk DDoS profittabbli jista 'jispiċċa f'perjodi ta' waqfien, viżitaturi mhux f'posthom, u konverżjonijiet mitlufa flimkien ma 'bejgħ gross.

Quddiem dawn il-penali, huwa possibbli li tiddeċiedi li tiddiżattiva l-pingbacks. Ejja nagħmlu mill-ġdid l-għażliet tiegħek:

  1. Itfi l-XML-RPC manwalment.
  2. Itfi XML-RPC b'a Snippet tal-kodiċi.
  3. Uża plugin simili għal Itfi l-XML-RPC-API.

Għandek xi mistoqsijiet dwar kif tiddefendi l-websajt tiegħek b'oppożizzjoni għall-vulnerabbiltà pingback ta 'WordPress? Staqsi 'l bogħod fil-parti tal-feedback taħt!

Punteġġ ta 'kreditu ta' Immaġni Dehra: Unsplash.

Din il-Post Għandha Kummenti 0

Ħalli Irrispondi

Your email address mhux se jkun ippubblikat. Meħtieġa oqsma huma mmarkati *

Lura 'l Fuq