LoginSign Up

ওয়ার্ডপ্রেসে XMLrpc.php কী এবং আপনার এটি কেন অক্ষম করা উচিত

প্রোগ্রামিং 1 year ago 2 Aug, 2019 at 8:14 pm 630
Linkedin Pint

ওয়ার্ডপ্রেসের সর্বদা ইনবিল্ট বৈশিষ্ট্য রয়েছে যা আপনাকে আপনার সাইটের সাথে দূর থেকে ইন্টারঅ্যাক্ট করতে দেয়। এটির মুখোমুখি হন, কখনও কখনও আপনাকে আপনার ওয়েবসাইট অ্যাক্সেস করতে হবে এবং আপনার কম্পিউটারটি কাছাকাছি কোথাও হবে না। দীর্ঘ সময় ধরে, সমাধানটি ছিল xMLrpc.php নামের একটি ফাইল। তবে সাম্প্রতিক বছরগুলিতে, ফাইলটি সমাধানের চেয়ে কীটপতঙ্গ হয়ে উঠেছে।

Xmlrpc.php আসলে কী এবং কেন এটি তৈরি হয়েছিল সেগুলির নীচে আমরা ডুব দেই। আমরা এর দ্বারা সৃষ্ট সাধারণ সুরক্ষা সমস্যাগুলি এবং কীভাবে আপনার নিজের ওয়ার্ডপ্রেস সাইটে সেগুলি প্যাচ করা যায় সেগুলি পর্যালোচনা করি।

XMLrpc.php কি?

এক্সএমএল-আরপিসি ওয়ার্ডপ্রেসের একটি বৈশিষ্ট্য যা এইচটিটিপি পরিবহন ব্যবস্থা হিসাবে এবং এক্সএমএলকে এনকোডিং প্রক্রিয়া হিসাবে অভিনয় করে ডেটা প্রেরণে সক্ষম করে। ওয়ার্ডপ্রেস যেহেতু একটি স্ব-আবদ্ধ সিস্টেম নয় এবং মাঝে মাঝে অন্যান্য সিস্টেমের সাথে যোগাযোগের প্রয়োজন হয়, তাই এই কাজটি পরিচালনা করার চেষ্টা করা হয়েছিল।

উদাহরণস্বরূপ, ধরা যাক আপনি আপনার মোবাইল ডিভাইস থেকে আপনার সাইটে পোস্ট করতে চেয়েছিলেন যেহেতু আপনার কম্পিউটারটি কাছাকাছি ছিল না। এটি করতে আপনি xMLrpc.php দ্বারা সক্ষম রিমোট অ্যাক্সেস বৈশিষ্ট্যটি ব্যবহার করতে পারেন।

Xmlrpc.php সক্ষম হওয়া মূল বৈশিষ্ট্যগুলি আপনাকে স্মার্টফোনের মাধ্যমে আপনার সাইটের সাথে সংযোগ স্থাপনের অনুমতি প্রদান করেছে, অন্যান্য সাইট থেকে ট্র্যাকব্যাক এবং পিংব্যাকগুলি বাস্তবায়ন করেছে এবং জেটপ্যাক প্লাগইনের সাথে যুক্ত কিছু ফাংশন।

XMLrpc.php কেন তৈরি হয়েছিল এবং এটি কীভাবে ব্যবহৃত হয়েছিল?

এক্সএমএল-আরপিসি বাস্তবায়ন এমনকি ওয়ার্ডপ্রেস হওয়ার আগে ওয়ার্ডপ্রেসের প্রথম দিনগুলিতে ফিরে যায়।

ইন্টারনেটের প্রথম দিনগুলিতে, যখন সংযোগগুলি অবিশ্বাস্যভাবে ধীরে ধীরে ছিল, ওয়েবে লেখার এবং প্রকাশের প্রক্রিয়াটি অনেক বেশি কঠিন এবং সময়সাপেক্ষ ছিল। ব্রাউজারের মধ্যেই লেখার পরিবর্তে, বেশিরভাগ লোক অফলাইনে লিখতেন, তারপরে তাদের অনুলিপি অনুলিপি করে ওয়েবে আটকান। তবুও, এই প্রক্রিয়াটি আদর্শ থেকে অনেক দূরে ছিল।

সমাধানটি (সেই সময়ে) ছিল, একটি অফলাইন ব্লগিং ক্লায়েন্ট তৈরি করা, যেখানে আপনি আপনার সামগ্রী রচনা করতে পারেন, তারপরে এটি প্রকাশের জন্য আপনার ব্লগে সংযুক্ত হন। এই সংযোগটি এক্সএমএল-আরপিসির মাধ্যমে করা হয়েছিল। এক্সএমএল-আরপিসির প্রাথমিক কাঠামোটি স্থানে রেখে, প্রাথমিক অ্যাপ্লিকেশনগুলি অন্য ডিভাইসগুলি থেকে লোকদের তাদের ওয়ার্ডপ্রেস সাইটে লগ ইন করতে অনুমতি দেওয়ার জন্য এই একই সংযোগটি ব্যবহার করে।

এক্সএমএল-আরপিসি আজকাল

২০০৮ সালে, ওয়ার্ডপ্রেসের ২.6 সংস্করণ সহ এক্সএমএল-আরপিসি সক্ষম বা অক্ষম করার বিকল্প ছিল। তবে, ওয়ার্ডপ্রেস আইফোন অ্যাপ্লিকেশন প্রকাশের সাথে সাথে এক্সএমএল-আরপিসি সমর্থন ডিফল্টরূপে সক্ষম হয়েছিল এবং সেটিংটি বন্ধ করার কোনও বিকল্প ছিল না। এটি আজও সত্য রয়েছে।

যাইহোক, সময়ের সাথে সাথে এই ফাইলটির কার্যকারিতা হ্রাস পেয়েছে এবং ফাইলটির সামগ্রিক আকার 83kb থেকে 3kb তে হ্রাস পেয়েছে, সুতরাং এটি আগের মতো ভূমিকা পালন করে না।

এক্সএমএল-আরপিসির ভবিষ্যত

নতুন ওয়ার্ডপ্রেস এপিআই দিয়ে আমরা এক্সএমএল-আরপিসি সম্পূর্ণরূপে নির্মূল হওয়ার আশা করতে পারি। আজ, এই নতুন এপিআই এখনও পরীক্ষার পর্যায়ে রয়েছে এবং কেবলমাত্র একটি প্লাগইন ব্যবহারের মাধ্যমে সক্ষম করা যেতে পারে।

যাইহোক, আপনি ভবিষ্যতে সরাসরি এপিআইআইটি ওয়ার্ডপ্রেস কোরে কোডড করার আশা করতে পারেন, যা বেশিরভাগই xmlrpc.php ফাইলটির প্রয়োজনীয়তা সম্পূর্ণভাবে মুছে ফেলবে।

নতুন এপিআই নিখুঁত নয়, তবে এটি xmlrpc.php সম্বোধন করে এমন সমস্যার আরও শক্তিশালী এবং সুরক্ষিত সমাধান সরবরাহ করে।

আপনার XMLrpc.php কেন অক্ষম করা উচিত

এক্সএমএল-আরপিসির সবচেয়ে বড় সমস্যাগুলি হ’ল সুরক্ষা উদ্বেগ যা উদ্ভূত। সমস্যাগুলি সরাসরি এক্সএমএল-আরপিসি নিয়ে নয়, পরিবর্তে ফাইলটি কীভাবে আপনার সাইটে একটি ব্রুট ফোর্স আক্রমণ সক্ষম করতে ব্যবহার করা যেতে পারে তা নয়।

অবশ্যই, আপনি অবিশ্বাস্যরকম শক্তিশালী পাসওয়ার্ড এবং ওয়ার্ডপ্রেস সুরক্ষা প্লাগইন দিয়ে নিজেকে রক্ষা করতে পারেন। তবে, সুরক্ষার সেরা মোডটি কেবল এটি অক্ষম করা।

এক্সএমএল-আরপিসির দুটি প্রধান দুর্বলতা রয়েছে যা অতীতে শোষণ করা হয়েছিল।

প্রথমটি আপনার সাইটে প্রবেশের জন্য ব্রুট ফোর্স আক্রমণ ব্যবহার করছে। একজন আক্রমণকারী বিভিন্ন ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংমিশ্রণ দ্বারা xmlrpc.php ব্যবহার করে আপনার সাইটে অ্যাক্সেস করার চেষ্টা করবে। শত শত বিভিন্ন পাসওয়ার্ড পরীক্ষা করতে তারা কার্যকরভাবে একটি কমান্ড ব্যবহার করতে পারে। এটি তাদেরকে সুরক্ষা সরঞ্জামগুলিকে বাইপাস করতে দেয় যা সাধারণত ব্রুট ফোর্স আক্রমণ সনাক্ত করে এবং অবরুদ্ধ করে।

দ্বিতীয়টি ডিডোএস আক্রমণের মাধ্যমে সাইটগুলিকে অফলাইনে নিয়ে যাচ্ছিল। হ্যাকাররা তাত্ক্ষণিকভাবে কয়েক হাজার সাইটে পিংব্যাকগুলি পাঠানোর জন্য ওয়ার্ডপ্রেসে পিংব্যাক বৈশিষ্ট্যটি ব্যবহার করবে। Xmlrpc.php- এ এই বৈশিষ্ট্যটি হ্যাকারদের একটি ডিডোএস আক্রমণ বিতরণ করার জন্য আইপি অ্যাড্রেসের প্রায় অন্তহীন সরবরাহ সরবরাহ করে।

আপনার সাইটে এক্সএমএল-আরপিসি চলছে কিনা তা পরীক্ষা করতে, তবে আপনি এটি এক্সএমএল-আরপিসি ভ্যালিডেটর নামে একটি সরঞ্জামের মাধ্যমে চালাতে পারেন। সরঞ্জামটির মাধ্যমে আপনার সাইটটি চালান, এবং যদি আপনি একটি ত্রুটি বার্তা পান তবে এর অর্থ আপনার কাছে এক্সএমএল-আরপিসি সক্ষম নেই।

যদি আপনি একটি সাফল্যের বার্তা পান তবে নীচের দুটি পদ্ধতির একটিতে আপনি xMLrpc.php বন্ধ করতে পারেন।

পদ্ধতি 1: প্লাগইনগুলির সাথে XMLrpc.php অক্ষম করা

আপনার ওয়ার্ডপ্রেস সাইটে এক্সএমএল-আরপিসি অক্ষম করা সহজ হতে পারে না।

কেবলমাত্র প্লাগইনগুলিতে নেভিগেট করুন your আপনার ওয়ার্ডপ্রেস ড্যাশবোর্ডের মধ্যে থেকে নতুন বিভাগ যুক্ত করুন এক্সএমএল-আরপিসি অক্ষম করার জন্য অনুসন্ধান করুন এবং নীচের চিত্রটির মতো দেখতে প্লাগইনটি ইনস্টল করুন:

xMLrpc প্লাগইন অক্ষম করুন ইনস্টল করুন

প্লাগইনটি সক্রিয় করুন এবং আপনি প্রস্তুত। এই প্লাগইনটি এক্সএমএল-আরপিসি বন্ধ করতে স্বয়ংক্রিয়ভাবে প্রয়োজনীয় কোডটি প্রবেশ করবে।

তবে, মনে রাখবেন যে কিছু বিদ্যমান প্লাগইন এক্সএমএল-আরপিসির অংশগুলি ব্যবহার করতে পারে, সুতরাং এটি সম্পূর্ণরূপে অক্ষম করা আপনার প্লাগইন বিরোধ বা আপনার সাইটের নির্দিষ্ট উপাদানগুলিকে আর কাজ করতে পারে না।

আপনি যদি কেবলমাত্র এক্সএমএল-আরপিসি-র নির্দিষ্ট উপাদানগুলি বন্ধ করতে চান তবে কিছু নির্দিষ্ট প্লাগইন এবং বৈশিষ্ট্যগুলিকে কাজ করার অনুমতি দেয় তবে তার পরিবর্তে নিম্নলিখিত প্লাগইনগুলি ব্যবহার করুন:

  • এক্সএমএল-আরপিসি আক্রমণ বন্ধ করুন এই প্লাগইনটি সমস্ত এক্সএমএল-আরপিসি আক্রমণ থামিয়ে দেবে, তবে এটি জেটপ্যাকের মতো প্লাগইন এবং অন্যান্য স্বয়ংক্রিয় সরঞ্জাম এবং প্লাগইনগুলিকে এক্সএমআলআরপিসি.এফপি ফাইলটিতে অ্যাক্সেস বজায় রাখার অনুমতি অবিরত রাখবে।
  • এক্সএমএল-আরপিসি প্রকাশনা নিয়ন্ত্রণ করুন এটি আপনাকে নিয়ন্ত্রণ বজায় রাখতে এবং xMLrpc.php দ্বারা সরবরাহিত রিমোট প্রকাশনা বিকল্পের উপরে ব্যবহার করতে দেয়।

পদ্ধতি 2: XMLrpc.php ম্যানুয়ালি অক্ষম করা হচ্ছে

আপনি যদি কোনও প্লাগিন ব্যবহার করতে না চান এবং ম্যানুয়ালি এটি করতে পছন্দ করেন না, তবে এই পদ্ধতির অনুসরণ করুন। ওয়ার্ডপ্রেসে পাস হওয়ার আগে এটি সমস্ত আগত xMLrpc.php অনুরোধগুলি বন্ধ করে দেবে।

আপনার .htaccess ফাইলটি খুলুন। এই ফাইলটি সনাক্ত করতে আপনাকে ফাইল পরিচালক বা আপনার এফটিপি ক্লায়েন্টের মধ্যে ‘লুকানো ফাইলগুলি দেখান’ চালু করতে হতে পারে।

আপনার .htaccess ফাইলের ভিতরে, নিম্নলিখিত কোডটি আটকে দিন :

 

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

 

 

 

সমাপ্তি চিন্তা

সামগ্রিকভাবে, এক্সএমএল-আরপিসি আপনার ওয়ার্ডপ্রেস সাইটে রিমোট প্রকাশের কারণে ঘটে যাওয়া কিছু সমস্যার একটি কঠিন সমাধান ছিল was যাইহোক, এই বৈশিষ্ট্যটির সাথে এমন কিছু সুরক্ষা গর্ত এসেছিল যা কিছু ওয়ার্ডপ্রেস সাইটের মালিকদের জন্য বেশ ক্ষতিকারক হয়ে পড়েছিল।

আপনার সাইটটি সুরক্ষিত থাকবে তা নিশ্চিত করতে xMLrpc.php সম্পূর্ণরূপে অক্ষম করা ভাল ধারণা। দূরবর্তী প্রকাশনা এবং জেটপ্যাক প্লাগইনগুলির জন্য প্রয়োজনীয় কিছু ফাংশন না লাগলে। তারপরে, আপনার সুরক্ষা গর্তগুলিকে প্যাচিং করার সময় আপনার এই প্লাগইনগুলি ব্যবহার করতে হবে যা এই বৈশিষ্ট্যগুলির জন্য মঞ্জুরি দেয়।

সময়ের সাথে সাথে, আমরা এক্সএমএল-আরপিসির বৈশিষ্ট্যগুলি নতুন ওয়ার্ডপ্রেস এপিআইতে সংহত হওয়ার আশা করতে পারি, যা সুরক্ষা ত্যাগ ছাড়াই দূরবর্তী অ্যাক্সেস এবং এর মতো করে রাখবে। তবে, ইতিমধ্যে, সম্ভাব্য এক্সএমএল-আরপিসি সুরক্ষা গর্ত থেকে নিজেকে রক্ষা করা ভাল ধারণা।

আপনি কি কোনও প্লাগইন বা ম্যানুয়ালি XML-RPC অ্যাক্সেস অবরুদ্ধ করেছেন? অথবা সুরক্ষার কোনও সমস্যা এটি প্রথম স্থানে সক্রিয় হওয়া থেকে অনুভব করেছেন? নীচের মন্তব্যগুলিতে আপনার অভিজ্ঞতা ভাগ করুন।

1 year ago

Abdullah sk
I,m article writer, part time job in kokilbd
Like - Dislike Votes 0 - Rating 0 of 10

1 Comment

    abdullahsk
    August 2, 2019 at 10:48 pm

    How to Disable WordPress XML-RPC with .htaccess

    While the above solution is sufficient for many, it can still be resource intensive for sites that are getting attacked.

    In those cases, you may want to disable all xmlrpc.php requests from the .htaccess file before the request is even passed onto WordPress.

    Simply paste the following code in your .htaccess file:
    1
    2
    3
    4
    5
    6

    # Block WordPress xmlrpc.php requests

    order deny,allow
    deny from all
    allow from 123.123.123.123

    Reply

Leave a Reply

Your email address will not be published.


*


Enter Captcha Here : *

Reload Image

     

আরও দেখুন

ফোরাম বিভাগ