XMLRPC là gì? Hạn chế của XML-RPC về vấn đề bảo mật

XMLRPC là một trong những giao thức được sử dụng phổ biến vào những năm về trước để chỉnh sửa website. Giao thức này được nhiều người sử dụng vào những năm trước đây. Hiện nay với sự phát triển của công nghệ internet và thiết kế website thì XML-RPC không còn thịnh hành như trước. Mona Media sẽ giúp bạn tìm hiểu về XMLRPC là gì và đưa ra những nhận định về việc có nên sử dụng XMLRPC nữa hay không thông qua nội dung dưới đây.

XMLRPC là gì?

Giao thức XMLRPC là sử dụng giao thức dùng XML để chuẩn hóa và trao đổi dữ liệu giữa WordPress cũng như các hệ thống khác. Để làm được điều đó XMLRPC đã chuẩn hóa giao tiếp, sử dụng XML làm cơ chế mã hóa và HTTP làm cơ chế truyền tải. Tiếng Anh của RPC là Remote Procedure Call XML. XMLRPC.PHP nổi tiếng với khả năng chỉnh sửa và kích hoạt nội dung từ xa.

XMLRPC một trang web offline từng thông dụng để kết nối với trang web chính. Quản trị viên sẽ chỉnh sửa nội dung từ XML-RPC.PHP. Sau đó tiến hành kích hoạt XMLRPC.PHP để đăng tải nội dung đã được chỉnh sửa.

Giao thức XMLRPC rất phổ biến vào những năm trước đây vì có thể chỉnh sửa nội dung mà không cần kết nối internet. Tuy nhiên, hiện tại internet và công nghệ số đã phát triển mạnh nên XML RPC không còn được thông dụng như trước kia. Với sự ra đời của mạng lưới internet tân tiến thì XML RPC.PHP đã mất đi vị trí độc tôn của mình.

Tìm hiểu các ứng dụng của XMLRPC

XML RPC được phân chia thành 2 giao thức chính là XMLRPC server và XMLRPC client.

• XMLRPC server: là một web server, có chức năng nhận thông tin đã được mã hoá từ XMLRPC client.
• XMLRPC client: là hệ thống sử dụng XML để mã hóa tham số, và gửi nội dung XML đã được mã hoá đó vào XMLRPC server.

Tùy vào từng mục đích sử dụng để kích hoạt hoặc vô hiệu hóa XML RPC. Chúng tôi cung cấp cả cách kích hoạt và vô hiệu hóa XML RPC để bạn tiện cho việc tìm hiểu và tham khảo.

Kích hoạt XMLRPC trong WordPress

Quy trình kích hoạt XMLRPC rất đơn giản và nhanh chóng. Bạn chỉ cần thực hiện việc kích hoạt XMLRPC theo các bước như sau:

1. Tìm kiếm  “Control XML RPC publishing” và tiến hành cài đặt.
2. Chọn Settings sau đó tìm đến tính năng Write. Chọn tiếp Remote publishing with XMLRPC  Enabled.
3. Nhấn Save changes là bạn đã kích hoạt thành công XML RPC.

Từ đây bạn có thể dễ dàng tạo các hàm xử lý cho cả XML-RPC Server và XML-RPC Client

Tại sao XMLRPC không được sử dụng nhiều

Giao thức XMLRPC ngày nay không được khuyến khích sử dụng trên trình duyệt WordPress. Chúng có nhiều hạn chế gây trở ngại trong quá trình dùng WordPress. Khả năng bảo mật thông tin kém, có các lổ hổng như:

• Tấn công qua pinback: Ta biết là XMLRPC hỗ trợ pinback và trackback để hỗ trợ bạn hiển thị thông báo trong phần nhận xét của trang web khi các trang khác liên kết đến nội dung này. Hacker có thể khai thác XMLRPC của bạn để gửi một lượng lớn mã pinback đến trang web của bạn để thực hiện một cuộc tấn công DDoS trên trang web của bạn.
• Tấn công Brute force: Mỗi khi XMLRPC đưa ra yêu cầu, nó sẽ gửi lại cả username và password để thực hiện xác thực. Vì thế nếu hacker đưa ra liên tiếp nhiều yêu cầu với các cặp tên người dùng và mật khẩu khác nhau, cuối cùng họ sẽ có được thông tin đăng nhập chính xác… từ đó hacker có thể truy cập vào hệ thống của bạn, xóa mã, chèn nội dung hay thậm chí phá hỏng cơ sở dữ liệu.

Vì vậy, sử dụng các giao thức XMLRPC sẽ có nguy cơ bị hacker thâm nhập cao hơn.

Khi sử dụng WordPress, các quản trị viên đã dùng WordPress API REST để loại bỏ được nhược điểm về bảo mật của XMLRPC. Khi dùng WordPress API người dùng có thể code trực tiếp vào trong WordPress core. Khả năng bảo mật sẽ tốt hơn rất nhiều.

Cách vô hiệu WordPress Xmlrpc.php

Vấn đề cần quan tâm nhất của XML-RPC chính là khả năng bảo mật. Hacker có thể đánh sập hoặc truy nhập trái phép vào hệ thống của bạn. Bạn có thể vô hiệu hóa XMLRPC bằng các phương pháp như sau:

Vô hiệu Xmlrpc.php bằng các Plugins

Trong tính năng của Plugins trên website. Bạn tìm kiếm Add New trong WordPress dashboard. Sau đó tiến hành tìm “plugin Disable XML-RPC”. Khi cài đặt chúng sẽ tự động chạy code cần thiết để tắt XML-RPC.

Trong trường hợp bạn không muốn tắt hoàn toàn mà để lại một số tính năng thì nên chọn “Stop XML-RPC Attack”. Giao thức này sẽ chặn được XML-RPC hoạt động. Tuy nhiên, chúng vẫn cho phép một số plugin như Jetpack hoạt động. Ngoài ra, có thể dùng Control XML-RPC Publishing để kiểm soát các XMLRPC.PHP chạy từ xa.

Vô hiệu WordPress Xmlrpc.php phương pháp thủ công

Một số quản trị viên sẽ không thích dùng plugin mà tự tay mình sẽ tắt các XMLRPC.PHP. Việc này cũng không quá khó khăn. Bạn chỉ cần mở file .htaccess và chỉnh sửa theo quy trình bên dưới:

# Block WordPress xmlrpc.php requests

<Files xmlrpc.php>

order deny,allow

deny from all

allow from 123.123.123.123

</Files>

XMLRPC là giao thức đã không còn sử dụng nhiều trong thời đại internet phát triển ngày nay. Nếu bạn cần tìm hiểu thêm về code web, quản trị web, thiết kế website hãy liên hệ với Mona Media. Chúng tôi sẽ thiết kế trang web chuyên nghiệp với các tính năng hiện đại để bạn sở hữu một website hoàn chỉnh nhất.