Teknik Kullanım Wordpress'in Gizli Güvenlik Açığı: Xmlrpc.php!

Bildiğiniz gibi, WordPress kullanmanın getirdiği bazı riskler var. İşte bu risklerden biri ve çözümü hakkında size bahsetmek istiyorum: xmlrpc.php dosyası.
Çoğu zaman adını bile duymadığınız bu dosya, sitenizin dış uygulamalarla (eski mobil uygulamalar veya blog yazma araçları gibi) iletişim kurmasını sağlıyordu. Artık WordPress çok daha modern ve güvenli bir teknoloji olan REST API'yi kullanıyor. Fakat eski uyumluluk için xmlrpc.php dosyası halen her WordPress kurulumunda var.

Peki Neden Tehlikeli?​

Bu dosya, kötü niyetli kişiler tarafından sitenize saldırmak için kullanılabiliyor. xmlrpc.php üzerinden yapılabilecek iki ana saldırı yöntemi var:

• Kaba Kuvvet (Brute Force) Saldırıları: Normalde sitenizin giriş sayfasında şifre denemeleri sınırlıdır. Ama bu dosya üzerinden, tek bir istekte yüzlerce, hatta binlerce şifre denemesi yapılabiliyor. Bu da şifrenizin tahmin edilme riskini artırıyor.
• DDoS Saldırıları: Saldırganlar, sitenizi başka sitelere yönelik DDoS saldırıları düzenlemek için kullanabilir. Bu, sitenizin sunucusunun aşırı yüklenmesine ve çökmesine neden olabilir.

Çözüm: Dosyayı Devre Dışı Bırakın!​

Eğer eski tip bir mobil uygulama veya masaüstü blog yazma aracı kullanmıyorsanız, bu dosyayı devre dışı bırakmanız sitenizin güvenliği için alabileceğiniz en basit ve en etkili önlemlerden biridir.
İşte size iki kolay çözüm yolu:

1. Eklenti Kullanın: En kolay yöntem, "Disable XML-RPC" gibi bir eklenti kurup etkinleştirmektir. Bu eklenti, tek bir tıkla bu riskli dosyayı tamamen etkisiz hale getirir.
2. htaccess Dosyanızı Düzenleyin: Eğer teknik bilginize güveniyorsanız, sitenizin ana dizininde bulunan .htaccess dosyasına aşağıdaki kod bloğunu ekleyebilirsiniz. Bu kod, xmlrpc.php dosyasına gelen tüm istekleri engelleyecektir.

Bu adımları uygulayarak sitenizi güvende tutabilir, gereksiz riskleri ortadan kaldırabilirsiniz. Unutmayın, güvenlik her zaman önceliğiniz olmalı!