WordPress XML-RPC는 WordPress CMS에 포함된 꽤 오래된 기능입니다. WordPress 사이트와 다른 웹 또는 모바일 기술 간의 통신을 표준화하는 수단입니다. WordPress 사용자라면 이 튜토리얼에서 XML-RPC가 무엇이고 자신을 보호하기 위해 XML-RPC를 비활성화하는 것이 좋은 이유를 알려줄 것입니다.
XML-RPC 작동 방식
WordPress 웹 사이트는 웹에서 작동하도록 설계되었습니다. HTML, CSS 및 PHP와 같은 핵심 웹 기술을 사용합니다. 이 모든 파일은 호스팅 서버 내부의 폴더에 잘 보관되어 있습니다.
방문자가 귀하의 도메인 이름 또는 파생 상품을 클릭하면 귀하의 웹페이지로 이동합니다. 브라우저에 다운로드하려는 정보가 포함된 특정 폴더. 이제 브라우저가 이 정보를 해석하여 보여줍니다.
하지만 브라우저를 사용하여 웹사이트에 액세스하고 싶지 않다면 어떻게 해야 할까요? 맞춤형 관리 소프트웨어나 모바일 애플리케이션에서 액세스하려면 어떻게 해야 합니까?
WordPress XML-RPC는 이 문제를 다룹니다.
XML-RPC는 간단한 XML 파일에 필수 정보를 포장하여 모바일 앱이나 원격 소프트웨어로 보내는 API입니다. 그런 다음 모바일 애플리케이션은 사전 구성된 자체 디자인으로 이 정보를 확장합니다. 이 경우 모바일 앱은 더 이상 상당한 양의 웹페이지 파일을 다운로드할 필요가 없으며 멋진 앱에서 데이터에 계속 액세스할 수 있습니다.
보기에 좋지만 유일한 문제는 XML-RPC를 통해 인증을 원할 때마다 사용자 이름과 암호를 보내야 한다는 것입니다. 이로 인해 해커의 공격에 매우 취약합니다.
XML-RPC가 당신을 취약하게 만드는 방법
XML-RPC는 무차별 대입 공격과 같은 두 가지 방법으로 사이트를 공격에 취약하게 만듭니다. 및 로그인 자격 증명 도난 .
1. 무차별 대입 공격
공격자는 무차별 대입 공격을 사용하여 웹사이트 감염을 시도합니다.
무차별 대입 공격은 단지 추측 게임입니다. 공격자는 성공할 때까지 계속해서 귀하의 비밀번호를 추측하려고 시도합니다.
초당 수천 번 발생하므로 단기간에 수백만 가지 조합을 시도할 수 있습니다.
WordPress 사이트에서는 웹사이트에 대한 로그인 시도를 제한하여 무차별 대입 공격을 쉽게 제한할 수 있습니다. 그러나 XML-RPC의 문제는 사이트에서 로그인 시도를 제한하지 않는다는 것입니다.
공격자는 서버를 속여 자신이 일부 정보를 검색하려는 관리자라고 계속 추측할 수 있습니다. 그리고 그들은 올바른 자격 증명이 없기 때문에 아직 귀하의 사이트에 액세스할 수 없기 때문에 끝없이 여러 번 시도합니다.
시험 횟수에는 제한이 없으므로 액세스 권한을 얻는 것은 시간 문제일 뿐입니다. 이런 식으로 해커는 XML-RPC DDOS 공격을 수행하여 사이트를 쉽게 다운시킬 수 있습니다(XML-RPC에 "핑백" 요청을 보내 서버 과부하 및 충돌).
2. 로그인 정보 가로채기/도용
XML-RPC의 또 다른 약점은 비효율적인 인증 시스템입니다. 웹사이트 액세스 요청을 보낼 때마다 로그인 자격 증명도 제출해야 합니다. 즉, 사용자 이름과 비밀번호가 노출됩니다.
해커가 이 정보 패킷을 가로채기 위해 모퉁이에 숨어 있을 수 있습니다. 일단 성공하면 더 이상 무차별 대입 공격의 엄격함을 겪을 필요가 없습니다. 그들은 단순히 유효한 자격 증명을 사용하여 웹사이트에 왈츠를 춥니다.
WordPress에서 XML-RPC를 비활성화해야 합니까?
WordPress 버전 3.5 이후로 XML-RPC 코드가 너무 많이 개선되어 WordPress 팀은 기본적으로 활성화하기에 충분히 안전하다고 판단했습니다. 모바일 앱이나 원격 소프트웨어를 사용하여 WordPress 사이트를 관리하는 경우 XML-RPC를 비활성화하면 안 됩니다.
서버 보안에 대해 매우 잘 알고 있다면 해커가 사이트를 공격하는 데 사용할 수 있는 한 가지 가능한 방법을 은폐했기 때문에 비활성화하는 것이 좋습니다.
WordPress에서 XML-RPC를 비활성화하는 방법
XML-RPC는 WordPress에서 기본적으로 활성화되어 있지만 비활성화하는 방법에는 여러 가지가 있습니다.
참고 :널리 사용되는 JetPack 플러그인을 사용하는 경우 Jetpack이 서버와 통신하는 데 필요하므로 XML-RPC를 비활성화할 수 없습니다. 또한 XML-RPC를 비활성화하기 전에 플러그인이나 테마가 XML-RPC를 사용하고 있지 않은지 확인하십시오.
XML-RPC 비활성화
1. 테마 폴더(보통 "wp-content/themes/"에 있음)를 찾고 "functions.php" 파일을 엽니다.
2. 다음 명령을 파일 끝에 붙여넣습니다.
// Disable use XML-RPC add_filter( 'xmlrpc_enabled', '__return_false' );
"functions.php" 파일을 저장합니다. 이렇게 하면 WordPress에서 XML-RPC 기능이 꺼집니다. 이 방법은 XML-RPC만 비활성화하지만 xml-rpc.php 파일이 있기 때문에 해커가 사이트를 공격하는 것을 막지는 못합니다.
XML-RPC 파일에 대한 액세스 차단
해커의 공격을 막는 가장 좋은 방법은 xml-rpc 파일에 대한 접근을 차단하는 것입니다.
아파치 서버
WordPress 사이트가 Apache 서버에서 실행 중인 경우(WordPress 설치 폴더에 ".htaccess" 파일이 표시되면 사이트가 Apache 서버에서 호스팅되고 있음을 확신할 수 있음) 다음 단계를 따르세요.
1. CPanel에 로그인합니다. 파일 관리자를 검색합니다.
2. 파일 관리자를 엽니다. "public_html" 폴더로 이동한 다음 ".htaccess" 문서로 이동합니다.
3. 마우스 오른쪽 버튼을 클릭하여 파일을 편집합니다.
4. 파일 하단에 다음 코드를 붙여넣습니다.
# Disallow all WordPress xmlrpc.php requests to this domain <Files xmlrpc.php> order deny,allow deny from all </Files>
5. 저장하고 종료합니다.
Nginx 서버
Nginx 서버의 경우 다음 코드를 서버 구성 파일에 붙여넣습니다.
# nginx block xmlrpc.php requests
location /xmlrpc.php {
deny all;
} 이제 귀하의 사이트는 공격으로부터 안전합니다.
결론
무차별 대입 공격과 데이터 절도는 사이트 소유자에게 계속해서 문제를 야기할 것입니다. 귀하의 사이트가 안전한지 확인하는 것은 귀하의 의무입니다. XML-RPC를 비활성화하는 것은 이를 수행하는 한 가지 효과적인 방법입니다. 위의 가이드를 따라 지금 해커로부터 웹사이트와 방문자를 보호하세요.