RSD ссылки в WordPress в формате xmlrpc – что это и как отключить

Чистим WordPress

Создатели WP всегда старались сделать движок универсальней и под все нужды пользователей независимо от устройств и скорости соединения. В статье рассмотрим подключение в WordPress xmlrpc, зачем его оставили и как его убрать из ядра.

Что такое xmlrpc

Это немного устаревший протокол соединения сайта по API и внешних программ–приложений для публикации контента в вордпресс. Проще говоря когда интернет был не такой быстрый, то писать и публиковать контент в админке доступно было не всем. Но разработчики WordPress сделали специальную возможность, чтобы писать контент оффлайн на компьютере, а публиковать и заливать без захода на сайт отдав соответствующие команды серверу, чтобы он перекачал материал в CMS. Так подключение выглядит в исходном коде.

<link rel="EditURI" type="application/rsd+xml" title="RSD" href="https://test-wp-kurs.ru/xmlrpc.php?rsd" />
Исходный HTML WordPress.
Присутствует link rel с xmlrpc.

Как видим находится в теге link с тайтлом RSD, именно так еще называют xmlrpc файл подключения в WordPress. Если не пользуетесь удаленной публикацией, то отключаем, на это есть несколько причин:

  • Лишний код, чем не пользуемся то удаляем.
  • Уязвимость – Могут производить атаки DDoS на этот файл для взлома.
  • Заботимся о скорости – хоть документ и весит 5 Кб, но кто знает что будет после очередного обновления WordPress.

Remove WP Overhead

В плагине Remove WP Overhead есть настройка отключения RSD линка в формате xmlrpc, устанавливаем и активируем.

Remove WP Overhead
Первый модуль.

Переходим в настройки, в первом же пункте предлагается удалить RSD/EditURL Link, включаем в положение ON, и проверяем, исходный HTML.

Инструкция удалилась.
Отсутствует xmlrpc.

Видим что xmlrpc смогли отключить. Но инструмент не решает множества других проблем с мусором в WordPress, предлагаю другое решение. Приложу подробное видео, как осуществляется процедура.

Clearfy PRO

В Clearfy pro есть возможность отключить rsd ссылки, стоит только включить переключатель.

Второй модуль.
Клеарфай.

Результат работы аналогичен, но клеарфай умеет не только удалять xmlrpc, но, например, устранять устаревший jquery migrate и еще множество дополнительных требований, которых почти 50 штук.

Взять Clearfy по промику

Применяем код

В файлах шаблона вывода данных строк не увидите, потому что они генерируются в конструкции wp_head, можем подействовать только через хуки. Вставляем в function php активного шаблона блога, такой код. Аналогично можно убрать shortlink.

remove_action( 'wp_head', 'rsd_link' );
Редактор шаблона.
Function.

Предупреждаю заранее, что любой из перечисленных способов может привести к поломке других модулей, использующих API, но очень редко. Поэтому чтобы закрыть доступ к editurl используем инструкцию для сервера и помещаем ее в htaccess. Тогда никто не сможет получить к нему доступ ни браузер ни робот.

<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Применяя эти 4 способа можете сделать блог на WordPress еще чище, безопаснее от DDoS, потому что смогли отключить xmlrpc и полностью убрать возможность подключится к ресурсу удаленно.

Женя

Занимаюсь разработкой WordPress уже больше 5 лет, делюсь своими знаниями и опытом на этом блоге.

Оцените автора
WPHacks.ru
Добавить комментарий