Në ditët e para të WordPress, kishte veçori që ju lejuan të ndërveproni me faqen tuaj të internetit nga distanca. Të njëjtat karakteristika bënë të mundur ndërtimin e një komuniteti duke lejuar hyrjen e blogerëve të tjerë blogun tuaj. Mjeti kryesor i përdorur për këtë qëllim është " XML-RPC '.
« XML-RPC "Ose" Thirrja e procedurës me distancë XML I jep fuqi të madhe WordPress:
- Lidhja në faqen tuaj me një SmartPhone
- TrackBacks dhe Pingbacks aktive blogun tuaj
- Përdorimi i përparuar i Jetpack
Por ka një problem me " XML-RPC ", të cilën duhet ta zgjidhni për të ruajtur sigurinë tuaj blog WordPress.
Si përdoret XML-RPC në WordPress
Le të kthehemi në ditët e para të Blogging '(edhe para WordPress), shumica e autorëve në internet përdorën dial-up Të shfletoj në internet. Ishte e vështirë të shkruash artikuj dhe t'i dërgosh në internet. Zgjidhja ishte të shkruani në kompjuterin tuaj jashtë linje dhe " copy / paste Artikulli juaj Njerëzit që e përdorën këtë metodë e kishin veçanërisht të vështirë sepse teksti i tyre shpesh kishte kode të huaja, edhe nëse dokumenti ruhej në format HTML.
Blogger ka krijuar një ndërfaqe programimi të aplikacioneve (API) për të lejuar zhvilluesit e tjerë të kenë qasje në bloget e Blogger. Ishte e mjaftueshme për të specifikuar emrin e faqes në internet, e cila lejonte përdoruesit të krijonin artikuj jashtë linje dhe më pas të lidheshin me Blogger API përmes XML-RPC. Sistemet e tjera të blogeve ndoqën shembullin, dhe në fund të fundit ishte një MetaWeblogAPI që standardizoi aksesin si parazgjedhje.
Pas dhjetë vjetësh, shumica e aplikacioneve tona janë në telefonat dhe tabletët tanë. Një nga gjërat që njerëzit pëlqejnë të bëjnë me telefonat e tyre është të postojnë në telefonat e tyre blog WordPress. Në 2008-09, Automattic u detyrua të krijonte një aplikacion WordPress për pothuajse çdo sistem operativ celular (e njëjta Blackberry dhe Windows Mobile).
Këto aplikacione lejuan, përmes ndërfaqes XML-RPC, të përdorin kredencialet tuaja WordPress.com për t'u lidhur me një faqe WordPress ku keni të drejta të caktuara të hyrjes.
Pse duhet të harrojmë për XML-RPC?
Përputhshmëria me XML-RPC Ka qenë pjesë e WordPress që nga dita e parë. WordPress 2.6 u lëshua më 15 korrik 2008 dhe aktivizimi i " XML-RPC Beenshtë shtuar në cilësimet e WordPress dhe parazgjedhjet në " Nga '.
Një javë më vonë, një version i WordPress për iPhone u lëshua dhe përdoruesve iu kërkua të aktivizonin funksionin. Katër vjet pasi aplikacioni iPhone u bashkua me familjen, WordPress 3.5 aktivizoi " XML-RPC '.
Dobësitë kryesore që lidhen me XML-RPC janë:
- Sulmet me forcë brutale: Sulmuesit përpiqen të futen në WordPress duke përdorur xmlrpc.php me sa më shumë kombinime të emrave të përdoruesit dhe fjalëkalimeve. Nuk ka kufizime të testimit. Një metodë në xmlrpc.php lejon sulmuesin të përdorë një komandë të vetme (system.multicall) të mendoj qindra fjalëkalime.
- Mohimi i sulmeve të Shërbimit përmes Pingback
Komoditeti vs Siguria e WordPress
Pra, këtu shkojmë përsëri. Bota moderne është thellësisht e mërzitshme me kompromiset e saj.
Nëse doni të siguroheni që askush nuk sjell një bombë në anijen tuaj, ju thjesht e kaloni atë nëpër detektorë metali. Nëse dëshironi të mbroni makinën tuaj gjatë blerjes, mbyllni dyert dhe mbyllni dritaret. Ju nuk mund të mbështeteni thjesht në fjalëkalimin e faqes në internet për ta mbrojtur atë (sigurojnë mbrojtje të mjaftueshme xhamat e makinës?), veçanërisht nëse përdorni Jetpack ose aplikacionet celulare.
Si të çaktivizoni XML-RPC në WordPress
Pra, ju jeni bërë të varur nga të gjitha këto mjete të cilat, nga ana tjetër, varen nga XML-RPC. Unë e kuptoj që ju nuk dëshironi të çaktivizoni "XML-RPC" edhe për pak kohë.
Sidoqoftë, këtu janë disa shtojca që do t'ju ndihmojnë ta bëni këtë:
- Stop Attack XML-RPC : lejon vetëm Jetpack dhe mjetet e tjera Automatike për të hyrë në xmlrpc.php përmes .htaccess.
- Kontrollo botimin XML-RPC: thjesht kthen opsionin e vjetër të botimit në distancë përsëri në opsionet e shkrimit.
- Siguria e iThemes, Anti-Malware Security Brute-Force Firewall et Të gjitha në një WP Security & FirewallKëto mjete të sigurisë për qëllime të përgjithshme përfshijnë mbrojtje brutale të forcës në versione falas. Ata shikojnë për përpjekje të përsëritura të hyrjes me ose pa xmlrpc.php dhe ju mbrojnë nga pyetjet që po përpiqen të shkatërrojnë faqen tuaj.
REST (dhe OAuth) në shpëtim
Tani mund ta dini që zhvilluesit e WordPress po kthehen në zgjidhjen REST. Zhvilluesit në ekipin REST API kishin disa çështje duke u përgatitur, duke përfshirë edhe monedhën e vërtetimit që synonte të rregullonte çështjen XML-RPC. Kur kjo të zbatohet përfundimisht (planifikuar aktualisht për WordPress 4.7 në fund të 2016), nuk do të duhet të përdorni XML-RPC për t'u lidhur me softuer si JetPack.
Në vend të kësaj, ju do të vërtetoni përmes protokollit OAuth. Nëse nuk e dini se çfarë është një protokoll OAuth, mbani mend se çfarë ndodh kur një faqe në internet ju kërkon të regjistroheni me Google, Facebook, apo edhe me Twitter. Në përgjithësi në këto platforma protokolli i përdorur është OAuth.
Test i WordPress REST API
Siç e thashë më herët, RI API nuk është integruar ende në WordPress dhe nuk do të jetë për muaj. Sot mund të filloni ta provoni në mjediset tuaja të provës:
Rest API patjetër do të jetë e ardhmja e WordPress. Ne kemi shkruar tashmë disa udhëzime për këtë të fundit që do t'ju japin ide se si mund të filloni ta zbatoni atë:
- Si të dini kur të përdorni API-në e pushimit
- Si të përdorni API-në e pushimit
- 7 implementime efektive të API-së së Rest
- Si të përdorni WordPress HTTP API
Kjo është ajo për këtë tutorial. Shpresoj se do të jeni më të informuar për rreziqet që lidhen me përdorimin e XML-RPC. Mos hezitoni të na bëni pyetje në formë komentet.
