За последние годы не раз проскакивали новости о массовом взломе, бруте сайтов на вордпрессе через xmlrpc. Кто не знает, по умолчанию, во всех последних версиях WordPress XML-RPC включен. Большинство рекомендаций сводятся к отключению этой функции. Через добавление фильтра в functions.php:

Я в свое время решил, что куда более оптимально запрещать доступ к xmlrpc.php через .htaccess:

Так нагрузки куда меньше, чем через фильтры.

Однако такое решение лишает многих полезных фич вордпресса. В частности доступа через MetaBlog и работы с сайтом через приложение WordPress для Android ( Apple не пользуюсь ). Однако эту проблему легко решить. В .htaccess вместо предыдущих двух строк добавляем:

Приложение WordPress для Android с таким юзер агентом успешно проходит и все работает. В теории, если ломать будут специально вас, сообразительный злоумышленник конечно догадается добавить подходящий юзерагент в брут запрос. Тут иллюзий быть не должно. Но от массы школьников, которые чисто массой генерят бестолковую нагрузку, защитит. Также надо понимать что .htaccess работает только под апачем ;) Но поправить для nginx не сложно.

Какой юзер агент для WordPress для iOS я не знаю и протестить не на чем.

P.S.: Кстати для тестов очень полезный плагин для FireFox HttpRequester. Во вкладке Headers ставим нужный User-Agent и тестим. Также для тестов в .htaccess может пригодиться

HttpRequester хедеры в ответе отлично видит и дебажить легко ( это из разряда, чтобы самому не забыть ).

10 июня 2017 |

Есть что сказать по теме статьи? Пожалуйста - пишите!