Responsywna strona internetowa – Dlaczego Twoja strona musi być dostosowana do urządzeń mobilnych?
27 czerwca 2017
Masz stronę internetową i pocztę na jednym serwerze? Popełniasz WIELKI błąd!
28 czerwca 2017

[WordPress] Jak zablokować XML-RPC, zezwalając na działanie JetPackowi?

Dostałem dzisiaj wiadomość od jednej z użytkowniczek forum wsparcia WordPress, która odwiedziła stronę i wysłała wiadomość poprzez ten formularz.

Zgodnie z zaleceniami zablokowałam dostęp do pliku xmlrpc.php, jednak po aktywacji tej blokady nie mogę korzystać z JetPacka i aplikacji WordPress w telefonie – czy jest możliwość blokady tego pliku w taki sposób, aby Jetpack i aplikacja w telefonie dalej mogły działać?

Czym jest plik xmlrpc.php w WordPress?

Jest zwany “plikiem zdalnej kontroli” – w prostych słowach umożliwia zewnętrznym systemom (np. aplikacji WordPress) na wykonywanie pewnych operacji na stronie. ale też wiele szkodliwych i złośliwych, które wykorzystują go np. do łamania haseł, próbują dodać spam na stronie etc. – z tego też względu zaleca się jego blokadę.

Jeżeli plik ten jest zablokowany: nie można zarządzać stroną poprzez platformę WordPress.com, aplikacja WordPress nie jest w stanie się połączyć z serwisem, VaultPress nie jest w stanie wykonywać kopii zapasowych, a podczas próby aktywacji wtyczki otrzymasz błąd 403 site_inaccessible 

Jak zablokować XML-RPC w WordPress i poprawić bezpieczeństwo?

Aby zablokować ten plik, wystarczy zablokować jego wykonywanie na serwerze, poprzez dodanie poniższego kodu do pliku .htaccess

Link do GitHub

Jednak jak wspominałem – zablokuje to wykonywanie wszelkich skryptów i możliwość połączenia się z witryną przez te, które wymagają tego pliku do działania.

Jak zablokować XML-RPC i pozwolić na działanie JetPackowi, ValuePress oraz aplikacji WordPress?

Po dodaniu kodu z poprzedniego akapitu w panelu WordPress.com zobaczymy taki komunikat, a aktywacja wtyczki JetPack będzie niemożliwa, podobnie jak logowanie poprzez WordPress.com i wszystkie funkcje związane z tą wtyczką:

Ta strona jest niedostępna. Disconnect Site

Aby JetPack działał poprawnie do pliku .htaccess należy dodać tę formułę – jednocześnie usuwając poprzednią (o ile istnieje):

Link do GitHub

Od teraz wszystkie usługi będą działać bez problemu.

Jeżeli chcesz zezwolić innym skryptom i/lub serwisom na dostęp do strony, wystarczy dodać linijkę z adresem IP/zakresem adresów, które mają zgodę na połączenie, analogicznie do 7 linijki powyższego kodu.

Jakub Jaworowicz
Jakub Jaworowicz
Marketingiem zajmuję się od 15 roku życia, zacząłem od brzydkich stron w kreatorze stron usługi Republika serwisu Onet - obecnie obsługuje ponad 200 klientów i 450 serwisów WWW rocznie, które tworzyłem lub mam je pod swoją opieką (w zakresie wsparcia i utrzymania). Ostatnio etatowo pracowałem jako Specjalista ds Marketingu w największym ogrodniczym sklepie internetowym (SADOWNICZY.PL) oraz jako kierownik działu wsparcia sprzedaży dla tego sklepu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Mam Cie!

Jeżeli udało mi się Ciebie przekonać do kliknięcia tutaj - to znak, że mamy między sobą nić porozumienia - utrzymajmy ją - zapisz się do newslettera, a otrzymasz tylko dobrą, wartościową wiedzę, która pozwoli ci się rozwijać!

Nigdy nie udostępniam danych osób trzecich, otrzymasz maksymalnie 2 wiadomości w miesiącu.

Dziękuję!

Nić porozumienia została poprawnie nawiązana!

Formularz kontaktowy

Z pomocą tego formularza, możesz poprosić o wsparcie lub wysłać prośbę o wycenę

Dane przetwarzane tylko na cele odpowiedzi. Bez Newslettera.

Wiadomość wysłana!
Dziękuję!