XMLRPC, WordPress’te başka uygulamalarla uzaktan güncelleme yapmanızı sağlayan bir sistemdir. Ancak bu sistemin açık kaynak yapısı gereği yeterli güvenlik önlemleri alınmaması durumunda aldığı sadırıların neden olduğu WordPress xmlrpc.php aşırı cpu tüketimi probleminin nasıl çözülebileceğini sizler için ele aldık. Bu yazımızda XMLRPC sistemini nasıl aktif ve pasif edeceğinizin yanı sıra daha güvenli bir şekilde çalışmasını sağlamanıza yardımcı olacak konuları işledik.
XMLRPC özelliğininin kapatılmasının alacağınız saldırıları önlemek adına çok büyük faydası vardır ancak kapatılması durumunda uzaktan blogunuz üzerine bir güncelleme yapma şansınız kalmaz. Bu özellik genellikle kişisel blog yazarlarının mobil üzerinden yapacağı anlık ve çok sık güncellemelerde büyük fayda sağlamaktadır. Çağımızın en büyük internet tüketimi mobil cihazlar üzerinden olduğunu göze alırsak bu özellik temelinde çok faydalı ancak çok eski bir yapı olduğu için problemlere neden olabilmektedir.
XMLRPC özelliğini kapatıp açmak için 5 farklı yöntem uygulanabilmektedir;
1. Manage XML-RPC. eklentisi
2. Disable XML-RPC eklentisi
3. G2 Security eklentisi
4. .htaccess ile XMLRPC kapatma ve açma yöntemi
5. add_filter(‘xmlrpc_enabled’, ‘__return_false’); kodu ile XMLRPC kapatma ve açma yöntemi
1. Manage XML-RPC. eklentisi kurulumu ve ayarları
WordPress eklentileri içinde en çok tercih edilen XMLRPC açma ve kapatma yöntemi eklentisi olan Manage XML-RPC. eklentiler linkinden yeni ekle linkini takip ederek kuracağız. Öncelikle WordPress admin panelimize giriş yapıyoruz.
Önce WordPress admin panelimize girerek Eklentiler linkinden Yeni Ekle bağlantısına tıklıyoruz.
Daha sonra Eklenti arama kutusuna Manage XML-RPC yazarak eklentiyi aratıyoruz.
Arama sonuçlarında Manage XML-RPC eklentisini bularak Hemen Yükle linkine tıklayıp bekliyoruz ve yükleme işlemi tamamlanınca Etkinleştir butonu aktif oluyor Etkinleştir butonuna tıklıyoruz.
Yükleme ve etkinleştirme işlemleri sorunsuz olarak tamamlandıktan sonra admin panelde sol menüde XML-RPC Settings linkine tıklıyoruz.
Karşımıza eklenti ayarları sayfamız geliyor bu sayfa da bulunan Disable XML-RPC değeri karşında ki kutucuğu işaretliyoruz.
Ayarlarımız bu kadar Değişiklikleri Kaydet butonuna tıklayarak eklenti ayarlarımı tamamlıyoruz.
2. Disable XML-RPC eklentisi
Disable XML-RPC eklentisi çok pratik ve kolay kullanımı nedeniyle 100.000’den fazla kişinin tercih ettiği bir eklenti. Disable XML-RPC kurulumu ise şu şekildedir. WordPress admin panelde Eklentiler -> Yeni Ekle linkini takip edek arama kutusuna Disable XML-RPC yazıyoruz ve Philip Erb tarafından geliştirilen eklentiyi buluyoruz. Eklentiyi aşağıda resimde verildiği gibi bulup Hemen yükle dedikten sonra etkinleştiriyoruz. Her hangi bir ayar gerektirmeyen Disable XML-RPC bu nedenle çok tercih ediliyor.
3. G2 Security eklentisi
Hızlı ve kolay bir şekilde XMLRPC özelliğini kapatıp açmanıza yardımcı olan bir diğer eklentide G2 Security eklentisidir. Yine eklentimizin kurulumu yukarıda anlattığımız Disable XML-RPC kurulumu şeklindedir. Arama kutusuna G2 Security yazarak eklentiyi aşağıda resimde verildiği gibi bulup Hemen yükle dedikten sonra etkinleştiriyoruz.
4. .htaccess ile XMLRPC kapatma ve açma yöntemi
Bu düzenlemede biraz kod bilginiz olması gereklidir. Aksi taktirde blogunuzda .htaccess kaynaklı erişim sorunu yaşayabilirsiniz. Öncelikle Filezilla vb. ftp programlarından biri ile ftp sunucumuza bağlanarak public_html klasöründe bulunan .htaccess dosyasını bilgisayarımıza indirmemiz gerekli. Cpanel üzerinden de bu düzenleme yapılabiliyor ancak bazı sunucular güvenlik gereği Cpanel dosya yöneticisinde .htaccess görüntülemenize izin vermez. FTP ile düzenleme işlemi yapmak en sağlıklı ve anlaşılır yöntemdir. Dosyamızı aşağıda resimde verildiği gibi tespit edip indiriyoruz.
İndirme işlemi tamamlandıktan sonra .htaccess dosyamızı NotePad++ programı ile açarak aşağıda verilen kodu düzenlediğimiz .htaccess dosyasında en son satıra yapıştırıyoruz.
[html]# WordPress xmlrpc.php saldırısı engelleme
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>[/html]
Kod ekleme işlemini doğru bir şekilde yaptıktan sonra dosyamızı kaydederek tekrar FTP’ye yüklüyoruz.
