WordPress известна обилием неиспользуемых функций, включенных по умолчанию. Одна из таких – xmlrpc, позволяющая управлять сайтом из стороннего источника. Разбираемся, как и зачем её отключать.
Xmlrpc.php в WordPress – что это такое?
На момент появления уязвимостью это не считалось. Xmlrpc был призван упростить работу с ресурсом на разных устройствах. По большей части это связано с периодом появления WordPress, то есть с 2003 годом, когда хороший доступ в интернет не имели все.
По итогу, через протокол xml данные передавались во встроенные в ОС (например в Windows) программы, через которые пользователи управляли своими сайтами.
Почему стоит отключить xmlrpc?
Сегодня в WordPress эта функция нигде не используется. Единственное, что она создает – бесполезный код в <head>, увеличивающий размер страницы.
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="https://site.ru/xmlrpc.php?rsd" />Кроме того, можно также выделить другие основные причины удаления xmlrpc:
- Дыра, позволяющая устраивать DoS и DDoS атаки (цель которых – положить сервер)
- Возможности для получения удаленного доступа (взлома) к админ-панеле посредством абьюза API
Как отключить RSD ссылку в ВордПрессе
RSD ссылка – атрибут тега <link>, подключающий бесполезные файлы. Для решения этой проблемы можно воспользоваться либо плагином, либо PHP вставкой.
Вебмастерам-новичкам предпочтительней использовать готовые модули, которые гарантировано не навредят сайту: не испортят верстку, не повредят другие процессы.
С помощью Clearfy PRO
Известный плагин, улучшающий техническое SEO сайта по 50+ параметрам. Одна из возможностей – отключение ссылки на xmlrpc, встроенной в WordPress.
Этот пункт расположен по пути: настройки клиарфая > код > очистка. После внесения изменений не забудьте их сохранить.
Взять премиум-плагин Clearfy
Через Remove WP Overhead
Нерусифицированная утилита, имеющая урезанный функционал (в сравнении с Clearfy), однако способная управлять мусором в <head>, отключая ненужные протоколы.
Опция отключения xmlrpc находится в параметрах плагина, изменяемых через настройки (через стандартный раздел WordPress). Процедура включения проста:
- Переведите чекбокс в положение «Enabled»
- Сохраните изменения
Используя PHP функцию
При желании вносить изменения самостоятельно – лучше всего делать это через functions.php. Найти его можно либо в файлах темы и отредактировать через блокнот (при FTP подключении) или любое другое приложение, либо пользоваться встроенным редактором тем.
В самый конец файла вставьте следующий код (после закрытия предыдущего):
remove_action( 'wp_head', 'rsd_link' );Если все прошло корректно – новых уведомлений быть не должно. Кроме того, советую проверить через код страницы (используя поиск): остался ли rsd линк.
Теперь вы можете еще лучше очистить WordPress. Продолжайте устранять технические ошибки блога, ведь с багажем бесполезных элементов пробиться в топ выдачи и получать трафик невозможно.
