許多 WordPress 安全專家堅持禁用 WordPress XML-RPC 檔案,為什麼?
安全問題
WordPress XML-RPC 方便從 WordPressWP 控制面板(或管理區)以外的地方使用 WordPress 網站。出於某些原因,可能想從其他地方與 WordPress 網站進行互動。例如,從電子郵件或第三方應用程式提交文章,就需要連線到 XML-RPC 檔案。鑑於它直接訪問 WordPress 網站的後端,XML-RPC 檔案可能會帶來安全風險。
應用程式程式設計介面(API)基本上是一個允許兩個應用程式或裝置相互對話的介面。 API 可以促進資料的共享、資料物件的操作等。 WordPress REST API 為使用者和開發人員提供了用於在傳統的 WP 控制面板之外與 WordPress 進行互動的方法和工具。 REST API 主要透過使用 HTTP 請求或換句話說。 URL 來工作。使用正確的 URL 查詢資訊,可以透過資料物件來請求或操作。
WordPress REST API 的一些用例,幾乎有無限的用例,REST API 對這些用例來說是無價的。但只是舉個基本的例子,假設不喜歡在 WordPress 管理區寫部落格文章。也許網路連線速度很慢,或者只是喜歡在不同的工具中寫作。有了 WordPress REST API,可以在無需登入 WordPress 網站後端的情況下,將本地文章插入到 WordPress 網站的資料庫中。隨著 REST API 的出現,XML-RPC 檔案的可行性受到了質疑,並最終將從 WordPress 中移除。
如何禁用 WordPress XML-RPC
有很多不同的方法來禁用 WordPress XML-RPC 檔案。最簡單的可能是透過外掛外掛。大多數安全外掛外掛會自動禁用或更改 WordPress XML-RPC 上的許可權(另一種有效的取消檔案的方式。想知道更多 WordPress 知識,可以閱讀:WordPress 網站終極外掛外掛 Jetpack 核心安全功能