Alasan mengapa Anda harus menonaktifkan XML-RPC di WordPress!!!

Bagaimana jika Anda dapat memperbarui situs web dengan satu perintah yang dijalankan dari jarak jauh. Kedengarannya luar biasa bukan? Sayangnya hal itu juga terdengar seperti bendera besar berwarna merah dengan tulisan “Wooi, retas aku dong!!!” yang dicat putih, dan itulah yang terjadi dengan fungsi XML-RPC di WordPress.

Ide awal di balik fungsi XML-RPC itu hebat, tetapi sayangnya bahwa XML-RPC sering disalahgunakan oleh peretas, skrip, bot atau apa pun yang mencoba mengakses situs web WordPress Anda.
Sebelum WordPress versi 3.5,  fungsi XML-RPC ini dinonaktifkan secara default, namun saat ini fungsi tersebut diaktifkan secara default!

Tidak diragukan lagi bahwa XML-RPC adalah salah satu fungsi yang paling sering disalahgunakan pada platform hosting. Dan kami dapat dengan mudah menyatakan bahwa dari request ke XML-RPC Anda hanya 1% request yang benar dan sisanya adalah request dari bot, skrip, peretas, yang semua mencoba untuk melumpuhkan web WordPress Anda dengan menggunakan serangan DDoS XML-RPC.

Bagaimana Anda bisa menonaktifkan XML-RPC di WordPress?

Ada beberapa cara untuk menonaktifkan fungsi XML-RPC ini. Namun jika Anda yakin 100% membutuhkan fungsi tersebut, silahkan mengabaikan sisa artikel ini!
Jika Anda memiliki keraguan tentang perlunya XML-RPC, silahkan gunakan salah satu cara di bawah ini untuk menonaktifkan XML-RPC.

Tapi pertama-tama yang harus ditekankan: menghapus xmlrpc.php saja tidak akan membantu, ada kemungkinkan pembaruan berikutnya akan mengembalikan file tersebut (atau lebih buruk, pembaruan Anda gagal karena file tersebut hilang), jadi itu bukan solusi!

Menggunakan plugin Disable XML-RPC

Ini adalah cara yang paling mudah. Plugin Disable XML-RPC memungkinkan Anda untuk mematikan fungsi XML-RPC.

Nonaktifkan PingBacks / Tracebacks

Fungsi Pingback (yang menggunakan XML-RPC) lebih baik dimatikan. Mematikannya tidak akan menyelesaikan masalah, tetapi merupakan salah satu best practice . Jika Anda menggunakan plugin di atas, matikan juga pingbacks.
Hal ini dapat dilakukan di dashboard WordPress di menu Settings > Discussion, lalu pada bagian Default article settings hilangkan centang pada opsi “” seperti pada screenshot dibawah.

Nonaktifkan request ke XML-RPC di tingkat server web adalah cara yang terbaik. Jika web server Anda menggunakan Apache, maka hal ini dapat dilakukan dengan menambahkan konten berikut di file .htaccess Anda:

## block XML-RPC requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Untuk jika web server Anda menggunakan Nginx, maka Anda dapat menambahkan kode berikut ke konfigurasi:

## block XML-RPC requests
location = /xmlrpc.php {
    deny all;
}

Kami lebih menyarankan langkah terakhir, karena request ke XML-RPC sudah diblok sebelum kode dieksekusi.

Demikian beberapa cara yang dapat Anda lakukan untuk menonaktifkan XML-RPC di WordPress Anda.

Semoga membantu.

Leave a Comment





Chat Me!