Azken bolada honetan erasotzaileak WordPress-en XML-RPC metodo (dexente naive) bat erabiltzen ari direla dirudi dei bakarrean ehundaka pasahitz frogatzeko.

Kontuan hartzekoa da WordPress 3.5-az geroztik XML-RPC API-a berez aktibatua dagoela, eta, horrela, ia WordPress gune guztiek dutela eraso bide hau martxan. Bloga kudeatzeko app eta programek erabiltzen dute API hau (oraingoz) eta horregatik hartu zuten erabakia, erabiltzaileren esperientzia fluidoa izan zedin.

Gauzak honela, XML-RPC API hau “segurtatzeko” bi aukera ditugu:

1. XML-RPC desaktibatzea

Ez badezu ezertarako erabiltzen aukerarik onena hau da. Ez dezu bidalketarik egiten zure mugikorretik, ez dezu JetPack plugina erabiltzen ezta beste inolako kustomizazio/hirugarrengo aplkikaziorik, hau da zurea:

WordPress-en filtro bat erabiltzea nahikoa da:

// Lerro hau zure theme-aren functions.php fitxategiari gehitu
add_filter('xmlrpc_enabled', '__return_false');

Beste aukera on bat, zure webguneak eraso jarraituak jasotzen baditu, zerbitzari mailan blokeatzea da, .htaccess erabilita (Apache-ren kasuan):

# xmlrpc.php-ra dei guztiak blokeatu
# eta nahi bada, IP bakarretik baimendu
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

2. Metodo arriskutsua blokeatzea

XML-RPC APIa erabiltzen badezu ezin blokeatu/desaktibatu… baina metodo arriskutsua (system.multicall) blokeatu dezakezu behintzat, dei bakarrean ehundaka pasahitz frogatu ez ditzaten:

WordPress-en filtro bat erabiltzea nahikoa da:

//functions.php fitxategian gehitu
function zurenamespace_remove_xmlrpc_methods( $methods ) {
            unset( $methods['system.multicall'] );
                return $methods;
}
add_filter( 'xmlrpc_methods', 'zurenamespace_remove_xmlrpc_methods');