في بدايات الووردبريس كان الاتصال بالإنترنت بطيء بشكل كبير، ولعلكم تتذكرون برنامج Windows live writer، وهو برنامج من ويندوز كان يتم تثبيته على الكمبيوتر لتتمكن من خلاله من تنسيق تدوينتك وكتابتها وضبطها بشكل كامل على جهازك محليًا ثم رفعها إلى موقع الووردبريس بعد أن تنتهي.
هذا البرنامج كان معتمدًا على ميزة XML-RPC؛ فقد كانت xmlrpc بالفعل حلا مميزًا يمكنك من الاتصال بموقعك الووردبريس عن بعد ونقل البيانات له، لكنها الآن وفي ظل التطور الرهيب الذي حدث أصبحت آفة أكثر من كونها أحد الحلول ولم تعد لها حاجة كبيرة؛ لذلك من المفضّل إغلاقها لأن أضرارها أكثر من فوائدها بكثير.
ما دامت ميزة xml-rpc تسبب مشاكل أمنية كثيرة والملف لم يعد له فائدة، فلماذا لم يتم حذفه من ووردبريس حتى الآن؟!
التساؤل السابق منطقي جدًا، فالووردبريس لا يزال يحتفظ بهذا الملف؛ لكنني أظن (رأي شخصي) أنه يحتفظ به من أجل الأشخاص الذين يملكون نسخ ووردبريس قديمة ولم يقوموا بتحديث مواقعهم لسبب ما.
دليلي في ذلك الصورة السابقة المأخوذة من إحصائيات الووردبريس-,WordPress%20Version,-Version) والتي تؤكد أن هناك نسبة من المواقع لا تزال تستخدم نسخ قديمة من الووردبريس تحديدًا النسخ قبل الإصدار 4.4 الذ ولم يقوموا بتحديث الووردبريس إلى أحدث إصدار حتى الآن.
ملحوظة: إن كان موقعك يعمل بأي نظام ووردبريس قبل الإصدار 4.4 فهذا يعني أنك معتمد على xmlrpc وستحتاج لها إذا كُنت تعتمد على الربط الخارجي بأحد التطبيقات أو البرامج. أما إذا كان إصدار موقعك أعلى من 4.4 فهذا يعني أن ميزة Rest API أصبحت مفعلة عندك ويمكنك استخدامها كبديل لميزة xmlrpc.
إليك أهم الأسباب التي توضح لماذا عليك التأكد أن هذه الميزة مغلقة بالفعل في موقعك:
1 – هجمات DDOS عن طريق xml-rpc pingbacks
ميزتان اسمهما pingbacks وtrackbacks تم تمكينهما بواسطة ملف xmlrpc.php. هاتان الميزتان تُظهران التعليقات على موقعك في حالة ارتباط موقعك بأحد المواقع الخارجية. فمثلا لو استخدم أحدهم رابط مقال من مقالاتك في موقعه، فسيصل لك هذا الارتباط في التعليقات.
ملف xmlrpc.php في الإصدارات القديمة كان هو المسؤول عن هاتين الميزتين، ولكن تم استبداله بميزة REST API وأصبحت هي المسؤولة عنهما الآن.
فإذا كانت ميزة الـ xmlrpc هي الميزة المسؤولة حتى الآن عن الـ pingbacks في موقعك، فقد يتمكن المخترقون من شن هجمات DDOS بأعداد هائلة من شأنها زيادة الضغط على موقعك وإيقافه عن العمل.
2 – هجمات القوة الغاشمة على ملف xmlrpc
ذكرنا أن هذه الميزة تعمل كوسيط بين برنامج لديك وبين موقعك.
في كل مرة تتصل هذه الميزة بالموقع الخاص بك، يتم إرسال اسم المستخدم وكلمة المرور لتأكيد الاتصال؛ وهذا يعني أنه بإمكان المخترق استخدام أسلوب القوة الغاشمة لمعرفة اسم المستخدم وكلمة المرور المستخدمة عبر الملف xmlrpc؛ فإن حصل عليه فبإمكانه عمل ما يريد بالموقع سواء بإضافة أو حذف محتوى أو تدمير قاعدة البيانات.
لهذين السببين ننصحك بالتأكد من أمرين:
- أنك تستخدم أحدث إصدار من ووردبريس.
- أن تتأكد أن ميزة xmlrpc مغلقة في موقعك؛ خصوصًا إذا كنت لا تعتمد على البرامج الخارجية للنشر في موقعك.
كيف أتأكد أن ميزة xmlrpc مغلقة
الطريقة الأولى بإضافة xmlrpc.php إلى نهاية رابط موقعك، وكما ترى في الصورة السابقة ملف xml-rpc يعمل مع المقالات فقط.
الطريقة الثانية بوضع رابط موقعك في هذه الأداة (WordPress XML-RPC Validation Service) ثم الضغط على Check.
إذا هنأك بعلامة الصح الخضراء وكلمة Congratulation فهذا يعني أن xml-rpc يعمل في موقعك وليس مُغلقًا.
أما إذا أعطاك X أحمر وكلمة Failed فالحمد لله، الميزة معطلة عندك بالفعل ولا داعي لفعل أي شيء.
كيفية تعطيل ميزة xml-rpc لمواقع الووردبريس؟
بإمكانك إغلاق ميزة xml-rpc بأكثر من طريقة؛ فهناك إضافات تمنعها وإضافات أخرى تفعّلها ويمكنك البحث عن أي إضافة باستخدام الكلمات التالية (disable XML-RPC) أو يمكنك الاعتماد على إضافة REST XML-RPC Data Checker والتي تساعدك على منع REST API، JSONP support، XML-RPC وغيرها من الميزات التي في الغالب لن تحتاج لها.
أو
أيضًا كبديل يمكنك إغلاق xml-rpc عبر ملف htaccess بإضافة الكود التالي إليه
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
أو
والجدير بالذكر أن بعض الاستضافات توفر إمكانية إغلاق وفتح xml-rpc من خلال إعدادات الاستضافة، فإذا كانت استضافتك توفر هذه الميزة سيكون من الأفضل الاعتماد عليها بدلا من الإضافات أو الفلاتر أو htaccess.
فمثلا الصورة السابقة مأخوذة من سيرفر cloudways والذي يوفر إمكانية إغلاق وفتح الوصول عبر ميزة الـ XMLRPC من إعدادات الموقع.
