Mengapa Kita Harus Menonaktifkan xmlrpc.php Wordpress
XML-RPC adalah protokol prosedur jarak jauh (RPC) yang menggunakan XML untuk mengkodekan panggilannya dan HTTP sebagai mekanisme transport. “XML-RPC” secara umum merujuk ke penggunaan XML untuk panggilan prosedur jarak jauh, terlepas dari protokol spesifik.
Xmlrpc.php yang digunakan oleh WordPress memungkinkan Anda untuk mengakses WordPress menggunakan perangkat mobile, menjalankan trackback dan pingback dari website lain, serta mengaktifkan beberapa fungsi yang terkait dengan plugin WordPress.
Awalnya XML-RPC dirancang pada masa Wordpress belum menjadi CMS, tujuannya kala itu untuk mempermudah proses penulisan dan penertiban postingan dengan koneksi internet yang masih lambat. (Baca Selengkapnya disini)
Cara kerja XML-RPC mengatur domain atau turunannya yang dikunjungi dengan cara mengkliknya, maka akan langsung mengarah ke laman web. Folder spesifik berisi informasi yang ingin mereka unduh ke browser mereka. Sekarang browser menafsirkan informasi ini dan menunjukkannya kepada mereka.
Sampai dengan saat ini, xmlrpc.php masih sering dijumpai di website WordPress. Namun seiring berjalannya waktu, fungsionalitas xmlrpc.php semakin menurun dan hampir tidak mempunyai dampak besar. Bahkan di beberapa kondisi, xmlrpc.php menjadi celah keamanan yang dimanfaatkan hacker untuk meretas website.
Hingga akhirnya saat ini WordPress mengembangkan API terbaru. WordPress API ini digadang-gadang dapat menggantikan fungsi dari XML-RPC bahkan mempunyai fungsi yang lebih baik. Meskipun WordPress API sudah dapat digunakan, tetapi saat ini masih dalam tahap uji coba.
Namun, sebelum Anda memutuskan untuk menonaktifkan xmlrpc.php, akan lebih baik jika mengetahui Alasan kenapa kita harus menonaktifkannya.
Dengan XML-RPC dimungkinkan situs menjadi rentan terhadap serangan, ada dua kerentanan yang terjadi: serangan brute force dan pencurian kredensial masuk.
1. Serangan Brute Force
Para penyerang berupaya menginfeksi situs web menggunakan serangan brute force.
Serangan brute force hanyalah permainan menebak. Penyerang mencoba menebak kata sandi berulang kali hingga berhasil. Contohnya seperti diatas, saya melakukan brute dengan bantuan tool.
Ini terjadi bisa beberapa ribu kali per detik sehingga mereka dapat mencoba jutaan kombinasi dalam waktu singkat.
Di situs WordPress dapat dengan mudah membatasi serangan brute force dengan membatasi upaya masuk untuk situs web. Namun, masalah dengan XML-RPC adalah bahwa ini tidak membatasi upaya masuk di situs.
Seorang penyerang dapat terus menebak dengan membodohi server bahwa mereka adalah admin yang berusaha mengambil beberapa informasi. Dan karena mereka tidak memiliki kredensial yang benar, mereka belum dapat mengakses situs, sehingga mereka terus mencoba beberapa kali tanpa takut ip terblokir.
Karena tidak ada batasan jumlah percobaan, hanya masalah waktu sebelum mereka mendapatkan akses. Dengan cara ini, seorang hacker juga dapat dengan mudah menurunkan sebuah situs dengan melakukan serangan DDOS XML-RPC (dengan mengirim gelombang permintaan “pingback” ke XML-RPC untuk membebani server).
2. Memotong / Mencuri Informasi Login
Kelemahan lain dari XML-RPC adalah sistem otentikasi yang tidak efisien. Setiap kali mengirim permintaan untuk mengakses situs web, dimana juga harus mengirimkan kredensial login. Ini berarti akan memaparkan nama pengguna dan kata sandi.
Peretas mungkin bersembunyi di sudut untuk mencegat paket informasi ini. Setelah berhasil, mereka tidak perlu lagi mengalami serangan kekerasan. Mereka hanya masuk ke situs web menggunakan kredensial yang valid.
Sejak Update WordPress versi 3.5, ada banyak peningkatan pada kode XML-RPC yang membuat tim WordPress menganggap cukup aman untuk diaktifkan secara default. Jika mengandalkan aplikasi seluler atau perangkat lunak jarak jauh untuk mengelola situs WordPress, sebaiknya XML-RPC diaktifkan saja.
Ada baiknya menonaktifkan XML-RPC ini, jika web server dirasa cukup lemah.
Setelah terinstall, jangan lupa klik “Active Now” untuk mengaktifkannya. Plugin “Disable XML-RPC” akan secara otomatis memasukkan kode yang dibutuhkan untuk menonaktifkan XML-RPC.
2. Tempelkan perintah berikut ke bagian akhir file:
// Disable use XML-RPC
add_filter( ‘xmlrpc_enabled’, ‘__return_false’ );
Memblokir Akses ke file XML-RPC
Cara terbaik untuk mencegah peretas menyerang adalah memblokir akses ke file xml-rpc.
Server Apache
Untuk pengguna server Apache, langkah-langkahnya berikut.
1. Masuk ke CPanel Anda. Cari Manajer File.
2. Buka pengelola file/file manager. Arahkan ke folder “public_html” dan kemudian “.htaccess” dokumen. (jika kalian tidak melihat file ".htaccess" karena file ini defaultnya hidden, silahkan masuk pengaturan/setting lalu ceklist show hidden files (dotfiles)
3. Setelah filenya keliatan, silahkan langsung edit saja, klik filenya lalu klik edit di menu atas. atau bisa juga klik kanan untuk mengedit file.
4. Di bagian bawah file tempel kode berikut:
5. Save and exit.
Nginx server
Untuk pengguna server Nginx, cukup tempelkan kode berikut ke file konfigurasi server:
# nginx block xmlrpc.php requests
location /xmlrpc.php {
deny all;
}
File XML-RPC memang merupakan file yang cukup penting di WordPress tapi itu pada jaman dulu. Sekarang, file ini menjadi kurang efektif bahkan cenderung memberikan dampak yang buruk bagi perkembangan website Anda. Sebagai gantinya, WordPress API hadir untuk menggantikan tugas dari XML-RPC di WordPress, tentunya dengan keamanan dan fleksibilitas yang lebih baik. Jika dirasa anda tidak memakainya mungkin tidak masalah untuk menonaktifkannya.
Xmlrpc.php yang digunakan oleh WordPress memungkinkan Anda untuk mengakses WordPress menggunakan perangkat mobile, menjalankan trackback dan pingback dari website lain, serta mengaktifkan beberapa fungsi yang terkait dengan plugin WordPress.
Awalnya XML-RPC dirancang pada masa Wordpress belum menjadi CMS, tujuannya kala itu untuk mempermudah proses penulisan dan penertiban postingan dengan koneksi internet yang masih lambat. (Baca Selengkapnya disini)
Cara kerja XML-RPC mengatur domain atau turunannya yang dikunjungi dengan cara mengkliknya, maka akan langsung mengarah ke laman web. Folder spesifik berisi informasi yang ingin mereka unduh ke browser mereka. Sekarang browser menafsirkan informasi ini dan menunjukkannya kepada mereka.
Sampai dengan saat ini, xmlrpc.php masih sering dijumpai di website WordPress. Namun seiring berjalannya waktu, fungsionalitas xmlrpc.php semakin menurun dan hampir tidak mempunyai dampak besar. Bahkan di beberapa kondisi, xmlrpc.php menjadi celah keamanan yang dimanfaatkan hacker untuk meretas website.
Hingga akhirnya saat ini WordPress mengembangkan API terbaru. WordPress API ini digadang-gadang dapat menggantikan fungsi dari XML-RPC bahkan mempunyai fungsi yang lebih baik. Meskipun WordPress API sudah dapat digunakan, tetapi saat ini masih dalam tahap uji coba.
Namun, sebelum Anda memutuskan untuk menonaktifkan xmlrpc.php, akan lebih baik jika mengetahui Alasan kenapa kita harus menonaktifkannya.
Dengan XML-RPC dimungkinkan situs menjadi rentan terhadap serangan, ada dua kerentanan yang terjadi: serangan brute force dan pencurian kredensial masuk.
1. Serangan Brute Force
Para penyerang berupaya menginfeksi situs web menggunakan serangan brute force.
Serangan brute force hanyalah permainan menebak. Penyerang mencoba menebak kata sandi berulang kali hingga berhasil. Contohnya seperti diatas, saya melakukan brute dengan bantuan tool.
Ini terjadi bisa beberapa ribu kali per detik sehingga mereka dapat mencoba jutaan kombinasi dalam waktu singkat.
Di situs WordPress dapat dengan mudah membatasi serangan brute force dengan membatasi upaya masuk untuk situs web. Namun, masalah dengan XML-RPC adalah bahwa ini tidak membatasi upaya masuk di situs.
Seorang penyerang dapat terus menebak dengan membodohi server bahwa mereka adalah admin yang berusaha mengambil beberapa informasi. Dan karena mereka tidak memiliki kredensial yang benar, mereka belum dapat mengakses situs, sehingga mereka terus mencoba beberapa kali tanpa takut ip terblokir.
Karena tidak ada batasan jumlah percobaan, hanya masalah waktu sebelum mereka mendapatkan akses. Dengan cara ini, seorang hacker juga dapat dengan mudah menurunkan sebuah situs dengan melakukan serangan DDOS XML-RPC (dengan mengirim gelombang permintaan “pingback” ke XML-RPC untuk membebani server).
2. Memotong / Mencuri Informasi Login
Kelemahan lain dari XML-RPC adalah sistem otentikasi yang tidak efisien. Setiap kali mengirim permintaan untuk mengakses situs web, dimana juga harus mengirimkan kredensial login. Ini berarti akan memaparkan nama pengguna dan kata sandi.
Peretas mungkin bersembunyi di sudut untuk mencegat paket informasi ini. Setelah berhasil, mereka tidak perlu lagi mengalami serangan kekerasan. Mereka hanya masuk ke situs web menggunakan kredensial yang valid.
Sejak Update WordPress versi 3.5, ada banyak peningkatan pada kode XML-RPC yang membuat tim WordPress menganggap cukup aman untuk diaktifkan secara default. Jika mengandalkan aplikasi seluler atau perangkat lunak jarak jauh untuk mengelola situs WordPress, sebaiknya XML-RPC diaktifkan saja.
Ada baiknya menonaktifkan XML-RPC ini, jika web server dirasa cukup lemah.
Cara Menonaktifkan XML-RPC di WordPress
XML-RPC diaktifkan secara default di WordPress, tetapi ada beberapa cara untuk menonaktifkannya.1. Cara pertama dengan Plugins "Disable XML-RPC".
Setelah terinstall, jangan lupa klik “Active Now” untuk mengaktifkannya. Plugin “Disable XML-RPC” akan secara otomatis memasukkan kode yang dibutuhkan untuk menonaktifkan XML-RPC.
2. Yang kedua dengan Manual Menonaktifkan XML-RPC
1. Cari folder theme (“wp-content / themes /”), dan buka file “functions.php”.2. Tempelkan perintah berikut ke bagian akhir file:
// Disable use XML-RPC
add_filter( ‘xmlrpc_enabled’, ‘__return_false’ );
Memblokir Akses ke file XML-RPC
Cara terbaik untuk mencegah peretas menyerang adalah memblokir akses ke file xml-rpc.
Server Apache
Untuk pengguna server Apache, langkah-langkahnya berikut.
1. Masuk ke CPanel Anda. Cari Manajer File.
2. Buka pengelola file/file manager. Arahkan ke folder “public_html” dan kemudian “.htaccess” dokumen. (jika kalian tidak melihat file ".htaccess" karena file ini defaultnya hidden, silahkan masuk pengaturan/setting lalu ceklist show hidden files (dotfiles)
contohnya seperti dibawah ini
3. Setelah filenya keliatan, silahkan langsung edit saja, klik filenya lalu klik edit di menu atas. atau bisa juga klik kanan untuk mengedit file.
4. Di bagian bawah file tempel kode berikut:
5. Save and exit.
Nginx server
Untuk pengguna server Nginx, cukup tempelkan kode berikut ke file konfigurasi server:
# nginx block xmlrpc.php requests
location /xmlrpc.php {
deny all;
}
File XML-RPC memang merupakan file yang cukup penting di WordPress tapi itu pada jaman dulu. Sekarang, file ini menjadi kurang efektif bahkan cenderung memberikan dampak yang buruk bagi perkembangan website Anda. Sebagai gantinya, WordPress API hadir untuk menggantikan tugas dari XML-RPC di WordPress, tentunya dengan keamanan dan fleksibilitas yang lebih baik. Jika dirasa anda tidak memakainya mungkin tidak masalah untuk menonaktifkannya.
Posting Komentar untuk "Mengapa Kita Harus Menonaktifkan xmlrpc.php Wordpress"