Pingback Vulnerability: วิธีปกป้องไซต์ WordPress ของคุณ

Pingbacks อาจช่วยให้คุณทราบล่วงหน้าเมื่อมีคนพูดถึงโพสต์ของคุณ นอกจากนี้ยังอาจนำเสนอ Search Engine Optimization (การเพิ่มประสิทธิภาพของเครื่องมือค้นหา) โดยลิงก์ย้อนกลับที่เป็นประโยชน์และเพิ่มความเชี่ยวชาญให้กับลูกค้าของเว็บไซต์ของคุณ อย่างไรก็ตามการ Pingbacks อาจช่วยแฮ็กเกอร์ในการเปิดตัวการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) เพื่อต่อต้านเว็บไซต์ของคุณ

โชคดีที่เมื่อคุณพิจารณาแล้วว่าอันตรายนั้นมีมากกว่าข้อดีคุณสามารถปิดใช้งาน Pingback ได้ ด้วยการปิดกั้นกระบวนการ XML-RPC ซึ่งเป็นพลังของคุณลักษณะ WordPress ที่เป็นที่ถกเถียงกันนี้คุณสามารถป้องกันเว็บไซต์ของคุณเพื่อต่อต้านการโจมตี DDoS และหลีกเลี่ยงการหยุดทำงาน

ในข้อความนี้เราจะดูว่าเหตุใด pingback จึงอาจทำให้เว็บไซต์ของคุณตกอยู่ในอันตรายได้และจะตรวจสอบได้อย่างไรว่าเปิดใช้งาน XML-RPC บนเว็บไซต์ WordPress ของคุณหรือไม่ จากนั้นเราจะแบ่งปันสามกลยุทธ์ในการปิดการใช้งานประสิทธิภาพที่อาจเป็นอันตรายนี้ มาเริ่มกันเลย!

คำแนะนำเกี่ยวกับ Pingback ของ WordPress

Pingbacks คือการแจ้งเตือนที่ปรากฏในเว็บไซต์ของคุณ ส่วนความคิดเห็น. พวกเขาชี้ให้เห็นว่ามีเว็บไซต์อื่นเชื่อมโยงกับเนื้อหาของคุณอีกครั้ง:

ใน WordPress จะเปิดใช้งาน Pingbacks ตามค่าเริ่มต้น ซึ่งจะช่วยคุณตรวจสอบการเชื่อมโยงหลายมิติขาเข้า จากนั้นคุณสามารถตอบกลับทุก Pingback ได้ ตัวอย่างเช่นคุณอาจใช้โอกาสนี้ในการโต้ตอบกับการจัดหาลิงก์ย้อนกลับภายในส่วนความคิดเห็นของหนึ่งในโพสต์ทั้งหมดของพวกเขา สิ่งนี้อาจช่วยได้เช่นกัน สร้างชื่อเสียงของคุณ ในฐานะผู้สร้างเนื้อหาที่น่าพอใจและเข้าถึงได้ง่าย

นอกจากนี้หากเว็บไซต์อื่นกล่าวถึงเนื้อหาของคุณในเชิงบวกนั่นคือการตัดสินใจของคุณให้ผู้อื่นเรียนรู้เกี่ยวกับเนื้อหานั้น คุณสามารถขยายการเผยแพร่ของพวกเขาได้โดยแบ่งปันผ่านทางบุคคลของคุณ เครือข่ายทางสังคม.

น่าเศร้าที่ไม่มีความมั่นใจว่าทุกสิ่งที่กล่าวถึงจะเป็นไปในทางสร้างสรรค์ อย่างไรก็ตามคุณสามารถปรับปรุงโปรไฟล์สาธารณะของคุณได้โดยปกติ ตอบสนองต่อการกล่าวถึงในแง่ลบแทนที่จะเป็นเพียงการเพิกเฉยต่อพวกเขา

Pingbacks อาจ เพิ่มปริมาณการเข้าชมเว็บไซต์ของคุณเนื่องจากผู้คนปฏิบัติตามไฮเปอร์ลิงก์ขาเข้าเหล่านี้ไปยังเนื้อหาเนื้อหาของคุณ นอกจากนี้ลิงก์ย้อนกลับยังเป็นปัญหาในการให้คะแนนสำหรับเซิร์ฟเวอร์จำนวนมาก หากคุณจัดการกับ Pingbacks จำนวนมากอย่างปลอดภัยมันอาจเพิ่มอันดับและผู้เยี่ยมชมธรรมชาติของคุณ

น่าเสียดายที่ Pingbacks มีลักษณะที่มืดมน WordPress ใช้ประโยชน์จากไฟล์ อินเตอร์เฟส XML-RPC เพื่อให้แฮกเกอร์สามารถใช้ประโยชน์จากการโจมตีแบบ Distributed Denial of Service (DDoS) เพื่อต่อต้านเว็บไซต์ของคุณได้

ในฐานะที่เป็นส่วนหนึ่งของการโจมตีนี้แฮ็กเกอร์ใช้ XML-RPC เพื่อส่ง Pingback จำนวนมากไปยังเว็บไซต์ของคุณในช่วงเวลาสั้น ๆ สิ่งนี้จะทำให้เซิร์ฟเวอร์ของคุณทำงานหนักเกินไปและจะทำให้เว็บไซต์ของคุณออฟไลน์ ผลลัพธ์สามารถรวบรวมได้ การหยุดทำงานที่มีราคาแพง และลดลง อัตราการแปลง.

แฮ็กเกอร์อาจใช้ Pingbacks เพื่อเปิดเผย IP สาธารณะทั่วไปของ WordPress ที่ได้รับการป้องกันที่ตั้งค่าและหลีกเลี่ยงความปลอดภัยระดับใด ๆ ของ Domain Name System (DNS) เหตุการณ์ที่เป็นอันตรายบางอย่างถึงกับใช้ Pingbacks เพื่อสแกนหาพอร์ตที่เปิดอยู่ ด้วยความคิดทั้งหมดนี้เป็นไปได้ที่คุณจะต้องพิจารณาปิดการใช้งานคุณลักษณะนี้ในเว็บไซต์ WordPress ของคุณ

วิธีตรวจสอบ XML-RPC ในเว็บไซต์ของคุณเพื่อดูว่าเปิดใช้งาน Pingback หรือไม่

ตั้งแต่ WordPress 3.5 อินเทอร์เฟซ XML-RPC ถูกเปิดใช้งานโดยค่าเริ่มต้น อย่างไรก็ตามไม่มีความมั่นใจว่าสิ่งนี้จะสามารถอยู่ได้ในรูปแบบต่างๆของ WordPress ในภายหลัง หากคุณกำลังแบ่งปันเว็บไซต์ WordPress ของคุณด้วย ผู้ทำงานร่วมกันคนอื่น ๆนอกจากนี้ยังมีโอกาสที่พวกเขาอาจแก้ไขการตั้งค่า XML-RPC ของคุณโดยไม่มีข้อมูลของคุณ

ก่อนที่จะปิดใช้งาน XML-RPC ค่าที่ตรวจสอบได้ตลอดเวลาว่าเปิดใช้งานอินเทอร์เฟซนี้บนเว็บไซต์ WordPress เฉพาะของคุณ คุณสามารถตรวจสอบสถานะโดยใช้ไฟล์ เครื่องมือตรวจสอบ XML-RPC:

ตัว Vortex Indicator ได้ถูกนำเสนอลงในนิตยสาร ที่อยู่ พื้นที่ป้อน URL ของเว็บไซต์ของคุณ จากนั้นคลิกที่ ตรวจสอบ. หากอุปกรณ์ Validator แสดงข้อความแสดงข้อผิดพลาดแสดงว่า XML-RPC ถูกปิดใช้งาน หากคุณพบข้อความ Hit เป็นไปได้ที่คุณจะต้องพิจารณาปิดการใช้งาน Pingback โดยมีเจตนาที่จะป้องกันเว็บไซต์ของคุณเพื่อต่อต้านการโจมตีที่เกี่ยวข้อง

วิธีป้องกันเว็บไซต์ของคุณเพื่อต่อต้านช่องโหว่ Pingback ของ WordPress (3 วิธี)

WordPress ช่วยให้ปิดใช้งาน Pingbacks ในโพสต์ในอนาคตได้อย่างตรงไปตรงมา เพียงแค่ไปที่ การตั้งค่า> การสนทนา ในแดชบอร์ดของคุณและยกเลิกการเลือกตัวเลือกที่เกี่ยวข้อง:

นอกจากนี้คุณยังสามารถปิดใช้งาน Pingback สำหรับโพสต์เฉพาะภายในตัวแก้ไข

อย่างไรก็ตามด้วยความตั้งใจที่จะปิดใช้งาน Pingback ทั่วทั้งเว็บไซต์ของคุณโดยสิ้นเชิงคุณจะต้องดำเนินการขั้นตอนต่อไป มีวิธีอื่น ๆ อีกสองสามวิธีที่คุณสามารถทำได้โดยอาศัยวัตถุประสงค์และขั้นตอนความสามารถของคุณ

วิธีที่ 1: ปิดใช้งาน XML-RPC ด้วยตนเอง

คุณสามารถบล็อกคำขอ XML-RPC ที่เข้ามาทั้งหมดได้เร็วกว่าที่ส่งไปยัง WordPress เทคนิคนี้ต้องการให้คุณแก้ไข .htaccessซึ่งเป็นไฟล์คอนฟิกูเรชันที่บอกให้เซิร์ฟเวอร์ของคุณทราบวิธีจัดการกับคำขอจำนวนมาก หากคุณไม่ได้ปรับเปลี่ยนเว็บไซต์ของคุณในขั้นตอนโค้ดเราขอแนะนำให้ลองใช้หนึ่งในกลยุทธ์ที่แตกต่างกันภายใต้

ก่อนแก้ไขไฟล์ .htaccess เป็นแนวคิดที่ชาญฉลาดในการ สร้างการสำรองข้อมูลทั้งหมด. แม้แต่ข้อผิดพลาดง่ายๆที่คล้ายกับการพิมพ์ผิดก็ยังเป็นหายนะเมื่อแก้ไขโค้ดของเว็บไซต์ของคุณ ด้วยการสำรองข้อมูลคุณจะมีสิ่งหนึ่งที่จะฟื้นคืนชีพในกรณีที่คุณพบจุดใด ๆ

คุณสามารถเข้า .htaccess ใช้ประโยชน์จากสิ่งที่คุณชอบมากที่สุด File Transfer Protocol (FTP) ผู้บริโภค. เราจะใช้ประโยชน์ FileZillaอย่างไรก็ตามขั้นตอนส่วนใหญ่จะต้องเหมือนกันสำหรับเครื่องมือที่แพร่หลายต่างๆ เมื่อผู้บริโภคของคุณเกี่ยวข้องกับเซิร์ฟเวอร์ของคุณแล้วให้ค้นหา .htaccess ในโฟลเดอร์รูทของเว็บไซต์ของคุณ:

หากโฟลเดอร์พื้นฐานไม่มีไฟล์ .htaccess เป็นไปได้ที่คุณจะต้องการเลือกไฟล์ บังคับให้แสดงข้อมูลที่ซ่อนอยู่ ความเป็นไปได้

ถัดไปเปิด .htaccess ในโปรแกรมแก้ไขเนื้อหาที่เป็นข้อความคล้ายกับการแก้ไขข้อความ เพิ่มรายการถัดไป:

<Files xmlrpc.php>
order deny,enable
deny from all
</Files>

จากนั้นบันทึกการปรับเปลี่ยนของคุณ เพื่อยืนยันว่า XML-RPC ถูกปิดใช้งานในขณะนี้ให้ลองแก้ไข net ของคุณโดยอุปกรณ์ XML-RPC Validator อีกครั้ง ตอนนี้ควรแสดงข้อความแสดงข้อผิดพลาด

วิธีที่ 2: ปิด Pingbacks ด้วยข้อมูลโค้ด

คุณยังสามารถเปิดและปิดอินเทอร์เฟซ XML-RPC โดยใช้ ตัวอย่างโค้ด. ข้อมูลโค้ดเป็นแนวทางที่มีประโยชน์เพื่อเพิ่มฟังก์ชันการทำงานที่หลากหลายให้กับเว็บไซต์ของคุณโดยไม่ต้องใส่ปลั๊กอินจำนวนมาก การลดความหลากหลายของปลั๊กอินในเว็บไซต์ของคุณสามารถทำได้ ทำให้ง่ายต่อการบำรุงรักษา และอาจนอกจากนี้ ปรับปรุงความปลอดภัยโดยรวม.

ลูกค้า ManageWP สามารถเพิ่มข้อมูลโค้ดได้โดยตรงจากแดชบอร์ด หลังจาก ลงชื่อเข้าใช้บัญชีของคุณ, นำทางไปยัง เครื่องมือเพิ่มเติม> ข้อมูลโค้ด:

ตอนนี้คุณสามารถวางโค้ดถัดไปลงในตัวแก้ไขข้อมูลโค้ดของ ManageWP:

<?php
//Disable XML-RPC
add_filter('xmlrpc_enabled', '__return_true');

หรือคุณอาจเพิ่มข้อมูลโค้ดนี้ลงในเว็บไซต์ของคุณโดยใช้ไฟล์ ปลั๊กอินข้อมูลโค้ด. หลังจากเปิดใช้งานแล้วให้ไปที่ Snippet> เพิ่มใหม่:

จากนั้นคัดลอกและวางข้อมูลโค้ดด้านบนลงในตัวแก้ไขโค้ด นอกจากนี้เราขอแนะนำให้รวมโครงร่างที่อธิบายอย่างชัดเจนว่าข้อมูลโค้ดนี้ใช้ทำอะไรและทำไมคุณจึงรวมไว้ในเว็บไซต์ของคุณ สิ่งนี้อาจทำให้ชีวิตของคุณง่ายขึ้นเมื่อคุณต้องกลับมาทบทวนข้อมูลโค้ดอีกครั้ง นอกจากนี้ยังส่งเสริมความโปร่งใสเมื่อคุณแบ่งปันเว็บไซต์ WordPress ของคุณกับคนอื่น ๆ

เมื่อคุณพอใจกับตัวอย่างของคุณแล้วให้คลิกที่ กระตุ้น และตรวจสอบว่า XML-RPC ถูกปิดใช้งานโดยใช้ XML-RPC Validator

วิธีที่ 3: ใช้ปลั๊กอินเพื่อปิดใช้งาน XML-RPC

สุดท้ายคุณสามารถปิดใช้งานอินเทอร์เฟซ XML-RPC โดยใช้ปลั๊กอินได้ เราจะใช้ประโยชน์ ปิดใช้งาน XML-RPC-API.

หลังจากใส่และเปิดใช้งานแล้วปิดใช้งาน XML-RPC-API จะปิดการใช้งานปิงแบ็กโดยที่คุณไม่ต้องใช้การเคลื่อนไหวเพิ่มเติม คุณจะได้รับข้อความยืนยันในไฟล์ ปลั๊กอิน หน้าจอแสดงผล:

หากคุณตัดสินใจว่าต้องการพลิก XML-RPC อีกครั้งสิ่งที่ต้องทำคือปิดใช้งานปลั๊กอิน

สรุป

แม้ว่าจะมีผลดีในการ Pingbacks แต่ก็ยังทำให้เว็บไซต์ของคุณได้รับการโจมตีแบบ Distributed Denial of Service (DDoS) ที่เป็นอันตรายอีกด้วย การโจมตี DDoS ที่ทำกำไรอาจจบลงด้วยการหยุดทำงานผู้เยี่ยมชมที่ผิดตำแหน่งและไม่ได้รับ Conversion พร้อมกับยอดขายรวม

เมื่อเผชิญกับบทลงโทษเหล่านี้เป็นไปได้ที่คุณจะตัดสินใจปิดการใช้งาน Pingbacks ลองสรุปตัวเลือกของคุณ:

1. ปิดใช้งาน XML-RPC ด้วยตนเอง
2. ปิด XML-RPC ด้วยไฟล์ ข้อมูลโค้ด.
3. ใช้ปลั๊กอินที่คล้ายกับ ปิดใช้งาน XML-RPC-API.

คุณมีคำถามเกี่ยวกับการปกป้องเว็บไซต์ของคุณที่ต่อต้านช่องโหว่ Pingback ของ WordPress หรือไม่? สอบถามได้ในส่วนข้อเสนอแนะด้านล่าง!

คะแนนเครดิตภาพเด่น: Unsplash.