XMLRPC, giao thức được tích hợp sẵn trong WordPress, tiềm ẩn nguy cơ bảo mật cho website của bạn. Bài viết này sẽ giải thích chi tiết về XMLRPC, vai trò và hướng dẫn bạn cách vô hiệu hóa nó bằng hai phương pháp: sử dụng plugin và sửa đổi file .htaccess một cách đơn giản để bảo vệ website hiệu quả.

XMLRPC là gì?

XMLRPC là giao thức cho phép ứng dụng từ xa giao tiếp với WordPress thông qua XML. Tuy nhiên, nó có thể bị kẻ xấu lợi dụng để thực hiện các hành vi tấn công, gây ảnh hưởng đến bảo mật website. Do đó, việc vô hiệu hóa XMLRPC là biện pháp cần thiết để bảo vệ website WordPress của bạn. 
Bảo mật website là vấn đề quan trọng hàng đầu đối với bất kỳ chủ sở hữu website nào. Việc vô hiệu hóa XMLRPC là một bước thiết yếu trong việc bảo vệ website khỏi các cuộc tấn công mạng, giúp bạn an tâm quản lý và vận hành website một cách an toàn.

Tại sao nên vô hiệu hóa XMLRPC?

Có một số lý do khiến bạn nên vô hiệu hóa XMLRPC trên website WordPress của mình:

• Bảo mật: XMLRPC có thể dễ bị tấn công hơn các giao thức khác, vì nó sử dụng XML không được mã hóa. Kẻ tấn công có thể sử dụng XMLRPC để truy cập trái phép vào website của bạn, đăng bài rác, thay đổi cài đặt hoặc thậm chí xóa dữ liệu.
• Hiệu suất: XMLRPC có thể chậm hơn so với các giao thức khác, chẳng hạn như JSON-RPC và REST. Nếu bạn không sử dụng XMLRPC, việc vô hiệu hóa nó có thể giúp cải thiện hiệu suất website của bạn.
• Sử dụng hạn chế: XMLRPC không còn được sử dụng phổ biến như trước đây, và đã được thay thế bởi các giao thức khác như JSON-RPC và REST. Do đó, việc vô hiệu hóa XMLRPC có thể không ảnh hưởng đáng kể đến chức năng của website của bạn.

Khi các cuộc tấn công XML-RPC trở nên phổ biến hơn, chủ sở hữu và quản trị viên trang web ngày càng quan tâm đến việc bảo vệ trang web WordPress của họ. Tệp xmlrpc.php, có thể hữu ích cho một số chức năng nhất định, cũng có thể gây ra rủi ro bảo mật nếu không được quản lý đúng cách.
Dưới đây là một số cuộc tấn công XML-RPC phổ biến và cách phòng ngừa:

• Tấn công Brute Force: Kẻ tấn công có thể sử dụng các công cụ tự động để thử nhiều mật khẩu khác nhau nhằm truy cập vào giao diện XMLRPC của bạn. Nếu mật khẩu của bạn yếu, kẻ tấn công có thể dễ dàng xâm nhập và thực hiện các hành động nguy hiểm
• Tấn công DoS: Kẻ tấn công có thể gửi một lượng lớn yêu cầu XMLRPC đến trang web của bạn, khiến nó quá tải và ngừng hoạt động. Điều này có thể gây ra thiệt hại về tài chính và ảnh hưởng đến danh tiếng của bạn.
• Tấn công Cross-Site Scripting (XSS): Kẻ tấn mã độc có thể chèn mã JavaScript độc hại vào các yêu cầu XMLRPC, khiến nó được thực thi trên máy chủ của bạn. Điều này có thể cho phép kẻ tấn công đánh cắp dữ liệu người dùng, cài đặt phần mềm độc hại hoặc thực hiện các hành động nguy hiểm khác
• Khai thác lỗ hổng phần mềm: Các lỗ hổng trong phần mềm XMLRPC có thể được kẻ tấn công khai thác để truy cập vào trang web của bạn hoặc thực thi mã độc. Điều quan trọng là phải cập nhật phần mềm XMLRPC của bạn lên phiên bản mới nhất để vá các lỗ hổng đã biết
• Lạm dụng API: Giao diện XMLRPC cung cấp quyền truy cập vào nhiều chức năng của WordPress, điều này có thể bị lạm dụng bởi những kẻ có ý đồ xấu. Ví dụ, kẻ tấn công có thể sử dụng API để tạo nhiều tài khoản người dùng, đăng hàng loạt bài viết spam hoặc thực hiện các hành động phá hoại khác.

Cách vô hiệu hóa XMLRPC

Có hai cách chính để vô hiệu hóa XMLRPC trên website WordPress của bạn:

1. Sử dụng plugin:

Có nhiều plugin WordPress có thể giúp bạn vô hiệu hóa XMLRPC. Một số plugin phổ biến bao gồm:

• Disable XML-RPC API: Plugin này hoàn toàn vô hiệu hóa chức năng XMLRPC trên website của bạn.
• Disable XML-RPC: Plugin này cũng vô hiệu hóa XMLRPC, nhưng nó cung cấp một số tùy chọn để cấu hình cách vô hiệu hóa nó.

Ngoài ra còn một số plugin khác như:

• iThemes Security: Plugin này cung cấp nhiều tính năng bảo mật khác nhau, bao gồm khả năng tắt XMLRPC.
• Wordfence Security: Plugin này cũng cung cấp nhiều tính năng bảo mật khác nhau, bao gồm khả năng tắt XMLRPC.
• WP Certify: Plugin này chuyên về bảo mật WordPress và cung cấp khả năng tắt XMLRPC.

Để vô hiệu hóa XMLRPC bằng plugin, bạn chỉ cần cài đặt và kích hoạt plugin, sau đó truy cập trang cài đặt của plugin và tìm tùy chọn để vô hiệu hóa XMLRPC.

2. Sửa file .htaccess:

Bạn cũng có thể vô hiệu hóa XMLRPC bằng cách sửa file .htaccess. Tuy nhiên, cách này đòi hỏi bạn phải có kiến thức cơ bản về FTP và chỉnh sửa file.

Để vô hiệu hóa XMLRPC bằng file .htaccess, bạn cần thêm các dòng sau vào cuối file .htaccess:

# Block WordPress xmlrpc.php requests

<Files xmlrpc.php>

order deny,allow

deny from all

allow from 111.222.333.444

</Files>

Xin lưu ý rằng đoạn mã sử dụng hướng dẫn " order deny, allow", hướng dẫn này hạn chế tất cả các yêu cầu đối với tệp xmlrpc.php theo mặc định. Tuy nhiên, dòng “allow from” chỉ cấp quyền truy cập vào các địa chỉ IP được chỉ định. Nếu bạn muốn không cho phép các yêu cầu từ tất cả các nguồn, chỉ cần xóa dòng “allow from” khỏi đoạn mã.

Đối với NGINX

Để tắt XML-RPC trên NGINX, cần có một cách tiếp cận khác so với phương pháp .htaccess đơn giản

• Tìm và mở tệp cấu hình máy chủ ảo trong thư mục /etc/nginx/sites-available.
• Trong khối máy chủ của cấu hình

Location = /xmlrpc.php { 
    deny all; 
  }

Đảm bảo lưu các thay đổi bạn đã thực hiện vào tệp cấu hình để các sửa đổi có thể có hiệu lực.

Lưu ý:

• Sao lưu website của bạn trước khi thực hiện bất kỳ thay đổi nào đối với file .htaccess.
• Nếu bạn không chắc chắn về cách sửa file .htaccess, bạn nên sử dụng plugin để vô hiệu hóa XMLRPC.

Xác nhận trạng thái XMLRPC

Sau khi bạn đã vô hiệu hóa XMLRPC, điều quan trọng là phải xác nhận trạng thái của nó trên website WordPress của bạn. Bạn có thể làm điều này bằng cách sử dụng công cụ XML-RPC Validator Web App: https://xmlrpc.blog/.

Kết luận

Vô hiệu hóa XMLRPC là một bước đơn giản nhưng hiệu quả để bảo vệ website WordPress của bạn khỏi các cuộc tấn công mạng. Bằng cách thực hiện các bước trong bài viết này, bạn có thể giúp đảm bảo rằng website của bạn được bảo vệ và an toàn.

Với hướng dẫn cụ thể trong bài viết này, bạn có thể dễ dàng vô hiệu hóa XMLRPC và bảo vệ website WordPress của bạn khỏi các nguy cơ bảo mật.