Novinka: Vizuální editor pro éru AI webů. Poslední dílek skládačky, když chcete upravovat web a ne psát e-maily. www.directedit.dev

💬

XML-RPC – relikt, který už na webu nechcete

Vypněte staré funkce, které už nejsou potřeba.

Při optimalizaci rychlosti a zabezpečení webu na platformě WordPress se často setkáte s doporučením vypnout funkci zvanou XML-RPC. Pro řadu majitelů webů jde o neznámý pojem. Pojďme si proto srozumitelně vysvětlit, k čemu tato funkce sloužila, jaká rizika dnes představuje a kdy je naopak nutné ji ponechat aktivní.

K čemu XML-RPC sloužilo?

XML-RPC (XML Remote Procedure Call) je protokol, který vznikl v počátcích WordPressu. Jeho hlavním účelem bylo umožnit vzdálenou komunikaci mezi vaším webem a externími aplikacemi.

V praxi to znamenalo, že díky XML-RPC jste mohli:

  • publikovat a upravovat články prostřednictvím oficiální mobilní aplikace WordPress,
  • propojovat web s blogovacími editory třetích stran,
  • využívat některé synchronizační funkce balíku Jetpack.

V tehdejší době šlo o klíčovou technologii. Od verze WordPressu 4.7 však platforma disponuje modernějším, rychlejším a bezpečnějším rozhraním WP REST API. Původní XML-RPC tak na moderních webech zůstává aktivní primárně z důvodu zpětné kompatibility se staršími systémy. Je však úsměvné, že ho některé pluginy používají dodnes.

Hlavní důvody pro vypnutí

Pokud externí aplikace nevyužíváte, aktivní XML-RPC představuje pro web zbytečnou zátěž a bezpečnostní riziko. Útočníci tuto funkci často zneužívají ke dvěma typům útoků:

1. Útoky hrubou silou (Brute Force)

Pokud se útočník snaží uhodnout heslo do administrace přes běžný přihlašovací formulář, bezpečnostní pluginy ho po několika neúspěšných pokusech zablokují. Protokol XML-RPC však obsahuje funkci, která umožňuje poslat stovky přihlašovacích kombinací v rámci jediného požadavku. Pro zabezpečení webu se to tváří jako jeden dotaz, což útočníkům usnadňuje práci a dramaticky to zvyšuje zátěž serveru.

2. DDoS útoky (Zneužití funkcí Pingback)

Přes funkci pingbacků mohou útočníci zneužít váš web k napadání jiných serverů. Váš hosting pak začne generovat obrovské množství skrytých požadavků na cizí weby. Výsledkem bývá přetížení procesoru (CPU) vašeho hostingu, což může vést až k dočasnému výpadku vašich stránek.

Tip z praxe: Pokud se váš web bez zjevného důvodu zpomaluje nebo hosting hlásí překročení limitů procesoru, velmi často za to může právě probíhající útok na soubor xmlrpc.php. Jeho deaktivace dokáže okamžitě snížit zátěž serveru na normální hodnoty.

Kdy XML-RPC naopak nevypínat?

Deaktivace není vhodná pro každého. Funkci na webu musíte ponechat aktivní v následujících případech:

  • Používáte plugin Jetpack a máte ho propojený s účtem na WordPress.com (některé jeho moduly na tomto protokolu stále závisí).
  • Web je propojen se starším externím systémem – například s účetním programem, skladovým hospodářstvím nebo ERP systémem, který ještě neumí komunikovat přes novější WP REST API.
  • Spravujete web přes starší mobilní aplikace, které moderní API nepodporují.

Pokud ani jednu z těchto funkcí nevyužíváte, doporučuje se z bezpečnostních i výkonnostních důvodů přístup k XML-RPC zakázat. Přinejhorším po vypnutí rychle zjistíte, že byl potřeba.

Jak XML-RPC bezpečně deaktivovat?

Před jakýmkoliv zásahem do webu je standardem provést kompletní zálohu. Následně můžete funkci vypnout několika způsoby:

  1. Pomocí bezpečnostního pluginu: Většina komplexních pluginů (např. Wordfence, Solid Security či All in One SEO) má v nastavení zabezpečení přímou možnost “Disable XML-RPC”. Stačí ji pouze zaškrtnout.
  2. Jednoúčelovým pluginem: Pokud nechcete nic složitě nastavovat, stačí nainstalovat a aktivovat miniaturní plugin Disable XML-RPC-API.
  3. Zápisem do souboru .htaccess: Pro technicky pokročilejší je nejčistším řešením zablokovat přístup přímo na úrovni serveru. Stačí na začátek souboru .htaccess vložit následující kód:
# Blokování přístupu k xmlrpc.php
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Tímto krokem odlehčíte serveru a efektivně uzavřete jednu z nejčastějších cest, kterou roboti využívají k automatizovaným útokům na WordPress.

Zdroje

Líbil se vám článek? Pošlete ho dál:

Jitka Klingenbergová

Jitka Klingenbergová

Absolventka ČVUT FIT oboru Informatika | Programátorka | Webová vývojářka, konzultantka a mentorka
tvorime@vyladeny-web.cz

Vaše komentáře

Zanechte první komentář

Zpět k tipům

Články na podobné téma

Pravidelná dávka užitečných tipů až do schránky