WordPress XML-RPC Nedir ve Neden Kapatılmalı?

WordPress XML-RPC Nedir ve Neden Kapatılmalı?

WordPress XML-RPC, uzak sunucuların WordPress sitenizle iletişim kurmasını sağlayan bir protokol sistemidir. Bu sistem, başlangıçta blogging platformlarının birbirleriyle veri paylaşımı için tasarlanmıştı. Ancak günümüzde XML-RPC, siber saldırganların en sık kullandığı güvenlik açıklarından biri haline gelmiştir.

WordPress sitelerinin yaklaşık %30'u XML-RPC'yi aktif olarak kullanmadığı halde bu özelliği açık bırakmaktadır. Bu durum, siteleri gereksiz risklere maruz bırakmaktadır.

XML-RPC'nin Kullanım Alanları

• WordPress mobil uygulaması ile site yönetimi
• Jetpack eklentisi entegrasyonu
• Uzaktan yazı yayınlama
• Pingback ve trackback sistemleri
• Üçüncü taraf içerik yönetim sistemleri bağlantısı

WordPress XML-RPC Kapatma: 4 Temel Neden

1. Brute Force Saldırılarına Karşı Koruma

XML-RPC endpoint'i (xmlrpc.php), saldırganların aynı anda binlerce şifreyi denemesine olanak tanır. Normal WordPress giriş sayfası bu tür saldırıları sınırlandırırken, XML-RPC bu korumayı atlatır. WordPress güvenlik raporlarına göre, XML-RPC üzerinden yapılan brute force girişimleri son 2 yılda %67 artmıştır.

2. DDoS Saldırılarından Korunma

Saldırganlar, pingback özelliğini kötüye kullanarak sitenizi DAĞITILMIŞ HİZMET REDDİ (DDoS) saldırısı için araç olarak kullanabilir. Bu durumda siteniz, başka sitelere saldırmak için zorlanır ve kendisi de yavaşlar.

Siber güvenlik ipuçları için uzman rehberimizi inceleyin

3. Sistem Kaynaklarının Korunması

Her XML-RPC isteği sunucu işlemcisi ve bellek tüketir. Saldırı durumunda bu kaynak tüketimi kritik seviyelere ulaşabilir. Özellikle dedicated sunucu kullanıyorsanız, gereksiz yükten kaçınmak kritik önem taşır.

4. Gizlilik ve Güvenlik

XML-RPC, siteniz hakkında bilgi toplamak isteyen kötü niyetli kullanıcılara kapı açar. Bu protokol üzerinden site yapısı, kullanıcı adları ve eklenti bilgileri sızdirılabilir.

WordPress XML-RPC Nasıl Kapatılır? 5 Etkili Yöntem

Yöntem 1: Eklenti Kullanarak Kapatma (Önerilen)

En güvenli ve kolay yöntem, güvenlik eklentileri kullanmaktır. Bu eklentiler XML-RPC'yi tamamen devre dışı bırakır ve ek koruma katmanları sunar.

Önerilen eklentiler:

• Wordfence Security
• iThemes Security
• All In One WP Security & Firewall
• Disable XML-RPC API

Yöntem 2: .htaccess Dosyası ile Engelleme

Apache sunucularında .htaccess dosyasına eklenen kodlar ile XML-RPC erişimi engellenebilir:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

Bu yöntem, sunucu seviyesinde koruma sağlar ve eklenti gerektirmez.

Yöntem 3: Nginx Yapılandırması ile Kapatma

Nginx kullanıyorsanız, site yapılandırma dosyanıza şu kodu ekleyin:

location /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}

Bu yapılandırmayı uyguladıktan sonra Nginx'i yeniden başlatmayı unutmayın.

Nginx yapılandırma hakkında detaylı bilgi için tıklayın

Yöntem 4: functions.php Dosyasında Devre Dışı Bırakma

Tema dosyanıza ekleyebileceğiniz kod:

add_filter('xmlrpc_enabled', '__return_false');
add_filter('xmlrpc_methods', function($methods) {
unset($methods['pingback.ping']);
unset($methods['pingback.extensions.getPingbacks']);
return $methods;
});

Bu yöntem, WordPress seviyesinde XML-RPC'yi devre dışı bırakır.

Yöntem 5: wp-config.php ile Kapatma

WordPress yapılandırma dosyasına eklenen tek satır:

add_filter('xmlrpc_enabled', '__return_false');

Bu yöntem, tüm XML-RPC isteklerini engeller.

XML-RPC Kapatma Yöntemleri Karşılaştırması

Yöntem	Difficulty	Güvenlik Seviyesi	Ek Özellikler
Eklenti	Kolay	Orta-Yüksek	Ek koruma, analiz
.htaccess	Orta	Yüksek	Sunucu seviyesi koruma
Nginx	Orta	Yüksek	Performans optimizasyonu
functions.php	Kolay	Orta	Tema tabanlı
wp-config.php	Kolay	Orta	Hızlı uygulama

XML-RPC Kapatma Sonrası Dikkat Edilmesi Gerekenler

Jetpack Kullanıcıları Dikkat!

Jetpack eklentisi aktifse, XML-RPC tamamen kapatılmamalıdır. Bunun yerine sadece pingback özelliği devre dışı bırakılmalıdır:

add_filter('xmlrpc_methods', function($methods) {
unset($methods['pingback.ping']);
return $methods;
});

Mobil Uygulama Kullanıcıları

WordPress mobil uygulaması ile sitenizi yönetiyorsanız, XML-RPC tamamen kapatılamaz. Bu durumda REST API kullanımı tercih edilmeli veya güvenlik eklentisi ile sadece belirli IP'ler izin verilmelidir.

CMS seçimi ve güvenliği hakkında daha fazla bilgi

WordPress XML-RPC Testi Nasıl Yapılır?

XML-RPC'nin başarıyla kapatılıp kapatılmadığını test etmek için şu yöntemleri kullanabilirsiniz:

1. Tarayıcı testi: tarayıcınıza siteniz/xmlrpc.php yazın. "XML-RPC server accepts only POST requests" mesajı alıyorsanız, hala aktif demektir.
2. Çevrimiçi araçlar: xmlrpc-scanner sitelerini kullanabilirsiniz.
3. curl komutu: Terminalde curl -X POST siteniz.com/xmlrpc.php -d '<methodCall><methodName>system.listMethods</methodName></methodCall>' komutunu çalıştırın.

Sonuç ve Öneriler

WordPress XML-RPC kapatma işlemi, sitenizin güvenliğini önemli ölçüde artıran kritik bir adımdır. Özellikle aşağıdaki durumlarda XML-RPC mutlaka kapatılmalıdır:

• Jetpack kullanmıyorsanız
• Mobil uygulama ile yönetim yapmıyorsanız
• Üçüncü taraf entegrasyonları kullanmıyorsanız
• Sunucu kaynaklarınızı korumak istiyorsanız

En güvenli yöntem, sunucu seviyesinde (.htaccess veya Nginx) engelleme yapmaktır. Bu sayede istekler WordPress'e ulaşmadan engellenir ve sistem kaynakları korunur.

Sunucu hataları ve çözümleri hakkında bilgi edinin

Unutmayın: Web sitesi güvenliği, sürekli dikkat ve güncelleme gerektiren bir süreçtir. XML-RPC kapatmanın yanı sıra düzenli güvenlik taramaları, güncel WordPress sürümleri ve güvenilir hosting altyapısı da kritik öneme sahiptir.

Profesyonel sunucu ve hosting çözümlerimiz için tıklayın