В последнее время много наших коллег начали интересоваться нашим сайтом в плане поиска различных уязвимостей и других проявлений любопытства.
Одним из вариантов заинтересованности был файл «xmlrpc.php», который является хорошей возможностью для получения управления сайтом. Данный файл предназначен для возможности администрирования сайта через различные приложения, поэтому мы можем смело закрыть эту дыру через файлы конфигурации сайта.
Можете проверить свой сайт на данную уязвимость введя в адресную строку https://adminwin.ru/xmlrpc.php, подставив свой сайт. Если у вас открывается страница 404, то у вас все хорошо, иначе беда.
Итак, начнем исправлять.
В конце файла functions.php перед «?>» дописываем строки:
// disable xmlrpc.php
add_filter('xmlrpc_enabled', '__return_false');
remove_action( 'wp_head', 'rsd_link' );
В файле header.php нам нужно удалить строчку:
<link rel="pingback" href="<?php bloginfo('pingback_url'); ?>" />
Далее переходим к файлу .htaccess и в конец добавляем:
<Files xmlrpc.php> order deny,allow deny from all </Files>
На этом мы выполнили задачу по закрытию уязвимости.