Xmlrpc.php vs REST API: Почему старый протокол убивает безопасность WordPress, а Новый - спасает

Вот ключевые отличия, объясняющие, почему блокировка xmlrpc.php критична:

XML-RPC (xmlrpc.php): Уязвимый Динозавр

• Протокол: Устаревший XML. Громоздкий, сложный для парсинга сервером (высокая нагрузка).
• Аутентификация: Примитивная (логин/пароль в теле запроса). Легко перехватывается, нет токенов.
• Авторизация: Слабая. Весь функционал доступен при аутентификации.
• Главная Уязвимость: system.multicall – "супероружие" для брутфорса (сотни проверок в 1 запросе).
• Безопасность: Отсутствуют встроенные механизмы rate limiting, WAF-дружественности. Риск: 80% брутфорс-атак.

REST API (Современный Стандарт): Безопасность по Дизайну

• Протокол: Легковесный JSON. Быстрая обработка, низкая нагрузка.
• Аутентификация: OAuth 2.0, JWT, Application Passwords. Надежные, отзываемые токены.
• Авторизация: Детальная (Capabilities). Можно дать доступ только к нужным эндпоинтам.
• Защита от Брутфорса: Нет аналога multicall. Проверка 1 учетки = 1 запрос. Легко внедрить rate limiting.
• Безопасность: Интегрируется с современными WAF. Лучшая поддержка в плагинах безопасности. Риск: Минимален для брутфорса.

Технический Вердикт:

Блокировка xmlrpc.php и переход на REST API – это не просто "рекомендация", это переход на современный, безопасный стандарт взаимодействия. Хранить xmlrpc.php включенным - это сознательно оставлять дверь открытой для 80% атакующих.

Откажитесь от опасного наследия XML-RPC! Заблокируйте xmlrpc.php через сервер (.htaccess, Nginx) или плагин безопасности (Wordfence, iThemes). Все новые интеграции стройте только на безопасном REST API с использованием токенов. Повысьте уровень безопасности вашего WordPress до стандартов 2025 года –- начните с блокировки xmlrpc.php сегодня!

IPv4