Popis

Chraňte svůj web před brute-force útoky přes XML-RPC a před útoky DoS i DDoS. Tento plugin na vašem webu WordPress zakáže XML-RPC, trackbacky a pingbacky.

FUNKCE PLUGINU
(Jedná se o možnosti, které můžete jednotlivě zapnout nebo vypnout)

Zakázat přístup k souboru xmlrpc.php pomocí souboru .htaccess
Automaticky nastavit oprávnění souboru .htaccess jen pro čtení (0444)
Zakázat X-Pingback pro snížení zatížení procesoru
Zakázat vybrané metody XML-RPC
Odstranit z hlavičky odkaz pingback-ping
Zakázat trackbacky a pingbacky jako ochranu před spammery a hackery
Přejmenujte slug XML-RPC na cokoli chcete
Seznam blokovaných IP adres pro XML-RPC
Seznam povolených IP adres pro XML-RPC
Některé možnosti pro zrychlení webu WordPress
Zakázat JSON REST API
Skrýt verzi WordPressu
Zakázat vestavěný editor souborů ve WordPressu
Zakázat manifest WLW
A některé další možnosti

Co je XML-RPC

XML-RPC, neboli XML Remote Procedure Call, je protokol, který využívá XML ke kódování svých volání a HTTP jako přenosový mechanismus.
Od verze WordPress 3.5 je XML-RPC standardně povoleno. Současně byla odstraněna možnost XML-RPC ručně vypnout nebo zapnout. Z různých důvodů mohou vlastníci webů chtít tuto funkci zakázat. Tento plugin nabízí snadný způsob, jak toho dosáhnout.

Proč byste měli XML-RPC zakázat
XML-RPC má dvě hlavní slabiny

Brute-force útoky:
Útočníci se pokoušejí přihlásit do WordPressu prostřednictvím souboru xmlrpc.php pomocí co největšího množství kombinací uživatelských jmen a hesel. Jedna z metod v xmlrpc.php umožňuje útočníkovi použít jediný příkaz (system.multicall) k odhadování stovek hesel. Daniel Cid ze společnosti Sucuri to v říjnu 2015 výstižně popsal takto: „Pomocí pouhých 3 nebo 4 HTTP požadavků mohli útočníci vyzkoušet tisíce hesel a obejít bezpečnostní nástroje navržené k odhalování a blokování brute-force útoků.“
Útoky Denial of Service prostřednictvím pingbacku:
V roce 2013 útočníci rozesílali požadavky pingback přes soubor xmlrpc.php přibližně na 2 500 webech s WordPressem, aby podle Gura Schatze ze společnosti Incapsula „shromáždili tyto weby do dobrovolného botnetu“. „To dává útočníkovi prakticky neomezený soubor IP adres, ze kterých může rozprostřít útok typu Denial of Service napříč sítí více než 100 milionů webů s WordPressem, aniž by je musel kompromitovat.“

Snímky obrazovky

Instalace

Nahrajte složku disable-xml-rpc do adresáře /wp-content/plugins/ ve své instalaci WordPressu.
Aktivujte plugin prostřednictvím nabídky „Pluginy“ ve WordPressu.
XML-RPC-API je nyní zakázáno!

Chcete-li XML-RPC znovu povolit, jednoduše deaktivujte plugin v nabídce „Pluginy“.

Nejčastější dotazy

Má tento plugin administrační rozhraní?: Ano, položku „XML-RPC Security“ najdete v administračním menu.
Jak poznám, že plugin funguje?: Existují tři snadné způsoby, jak ověřit, zda je XML-RPC vypnuto:
1. Nejjednodušší způsob je přejít na tuto adresu: http://yourdomain/xmlrpc.php
Místo yourdomain zadejte svou doménu. Pokud se zobrazí hlášení „Access forbidden!“ nebo chyba 403, znamená to, že vše funguje správně.
2. Dále můžete zkusit použít klienta XML-RPC, například oficiální mobilní aplikaci WordPress. Pokud je plugin aktivní, mobilní aplikace WordPress by měla oznámit, že „služby XML-RPC jsou na tomto webu zakázány“.
3. Případně můžete vyzkoušet také nástroj XML-RPC Validator, který vytvořil Danilo Ercoli z týmu Automattic Mobile. Tento nástroj je dostupný na adrese http://xmlrpc.eritreo.it/
a článek o něm najdete na adrese http://daniloercoli.com/2012/05/15/wordpress-xml-rpc-endpoint-validator/
. Mějte na paměti, že v tomto případě je správné, pokud ověření selže a zobrazí informaci, že služby XML-RPC jsou zakázány.
Zdá se, že něco nefunguje správně.: Pokud je plugin aktivní, ale XML-RPC se stále jeví jako funkční, nebo pokud je plugin deaktivovaný, ale XML-RPC přesto nefunguje, je možné, že chování pluginu ovlivňuje jiný plugin nebo funkce šablony.

Recenze

bugscout 11. 9. 2025

i tried 3 plugins, this does what it should 🙂

firafiki 19. 8. 2025 1 odpověď

Website crashed error 500 server. All php files was modified. But i’m not sure who dumb person downloaded at my company website. 4 days to settled all the issues.

elmo2000 14. 8. 2023 3 odpovědi

My whole site crashed . 500 server error. (.htacces failure) Unistalled, found another solution.

ajaxy12 9. 6. 2023 1 odpověď

Could you please add capability to exclude spesific domain names from Disable Hotlinking and Leaching of Your Content section? We want to show some of our content on other webiste via iframe

ben2358723823567 29. 5. 2023 2 odpovědi

WARNING! This extension will sneakily inject obfuscated yanz backdoor PHP scripts in your document root and will hijack your Wordpress site. THREE of my customers websites were hacked this week and the ONLY extension that they all have in common that recently got installed is Disable XML-RPC-API. They literally have nothing else in common and they don’t know each other nor use the same theme nor even the same Wordpress release. BE WARNED.

jaywalker999 13. 2. 2023

Any plugin that shoves global notices on every admin page to cross promote their other plugins, can have a one star review and get uninstalled. Bye.

Přečtěte si všech 42 recenzí

Autoři

Zakázat XML-RPC-API je otevřený software. Následující lidé přispěli k vývoji tohoto pluginu.

Plugin „Zakázat XML-RPC-API“ byl přeložen do 4 jazyků. Děkujeme všem překladatelům za jejich pomoc.

Přeložte “Zakázat XML-RPC-API” do svého jazyka.

Zajímá vás vývoj?

Prohledejte kód, podívejte se do SVN repozitáře, nebo se přihlaste k odběru protokolu vývoje pomocí RSS.

Přehled změn

1.0.0

První vydání

1.0.1

Opraveny chyby

1.0.5

Odstraněn tag odkazu na pingback v hlavičce
Přidána možnost opravit oprávnění souboru .htaccess

1.0.6

Opravena varování ohledně oprávnění souboru .htaccess

1.0.7

Opravena chyba s prázdnou stránkou při použití pluginu W3 Total Cache a některých dalších mezipamětí pluginů

1.0.8

Opraven konflikt s pluginem Autoptimize

1.0.9

Zajištěna kompatibilita s WordPressem 5.7
Opraveny některé problémy

2.0.0

Opraven konflikt kódu s jiným pluginem
Opravena chyba při skrývání dat v záložkách produktů WooCommerce

2.1.0

*Významná aktualizace
*Přidána nabídka nastavení „Zabezpečení XML-RPC“
*Přidány nové funkce
*Opravena chyba při deaktivaci pluginu

2.1.1

Přidána nová funkce pro opravu hotlinků
Upraveno načasování oznámení

2.1.2

Přidána možnost vypnout automatickou změnu oprávnění souboru .htaccess
Opraveno upozornění týkající se „DISALLOW_FILE_EDIT“
Zajištěna kompatibilita s WordPressem 5.8

2.1.3

Opravena kompatibilita s WordPressem 5.9
Opravena funkce pro čištění souboru .htaccess

2.1.4

Opraveny některé drobné chyby
Kompletně přepracován kód
Přidána záložní funkce pro případy, kdy .htaccess nefunguje

2.1.4.2

Rychlá oprava chyby při aktualizaci

2.1.4.3

Rychlá oprava chyby při odstraňování metadata verze

2.1.4.4

Opraveno varování o nedefinované proměnné $htaccess_code, pokud je vypnuta oprava hotlinků
Opraveno varování „Undefined array key ‚plugins’“ v prostředí PHP 8+

2.1.4.5

Opravena chyba při odstraňování hlavičky vpingback v poslední hlavní aktualizaci
Aktualizována hodnota „Testováno do“ pro WordPress 6.1

2.1.4.7

Opraveny chyby v hooku pro odinstalaci
Drobná vylepšení oznámení o hodnocení v administraci

2.1.4.8

Opravena chyba v možnosti WP Reset API

2.1.4.9

Aktualizován výchozí seznam povolených IP adres pro Jetpack
Opravena chyba ve funkci pro aktualizační akce
Ve výchozím nastavení zůstává WP RSS povoleno
Otestováno s WordPressem 6.3 a aktualizována hodnota „Testováno do“

2.1.5

Rychlá oprava chyby v .htaccess a vypnutí oznámení v administraci

2.1.6

Vyčištěn kód pluginu (odstraněn nepotřebný kód)
Do seznamu povolených adres Jetpacku byly přidány IP adresy VaultPressu
Testována kompatibilita s WordPressem 6.6.1

2.1.7

Vylepšena záložní metoda pro vypnutí XML-RPC
Testována kompatibilita s WordPressem 6.7.1

does what it should

Harmful

Error

Hotlinking

DO NOT INSTALL THIS! PHP BACKDOOR

Spammy admin notices. Bye Bye.