Apa itu XMLRPC ?
Apa itu XMLRPC? pada Wikipedia, XML-RPC adalah protokol panggilan prosedur jarak jauh yang menggunakan XML untuk menyandikan panggilan dan HTTP sebagai mekanisme transportasi. Sederhananya, xmlrpc ini digunakan bagi pengguna untuk terhubung ke WordPress mereka secara remote. terhubung disini dalam artian pemilik situs bisa mengelola atau memposting sesuatu ke situs mereka tanpa harus login ke dashboard WP, cukup melalui xmlrpc. Di WordPress, fitur ini aktif dengan file xmlrpc.php yang berlokasi di root path WordPress.
Fitur ini sebenarnya hampir tidak memiliki fungsi lagi untuk saat ini. Ya, mungkin bagi kalian yang menggunakan Jetpack tidak akan bisa menggunakan plugin tersebut jika kalian tidak mengaktifkan xmlrpc, namun untuk keperluan lain hampir tidak ada. Terutama setelah munculnya WordPress API, kegunaan XMLRPC hampir tidak ada.
Mengapa Harus Dimatikan?
Fitur bawaan wordpress ini terkadang membawa banyak masalah terutama dalam segi keamanan. Fitur xmlrpc ini sering dimanfaatkan oleh hacker untuk melakukan bruteforce login ke WordPress. Jadi percuma semisal kalian memproteksi halaman login WordPress kalian dengan captcha maupun rate limit – misalnya, IP diblokir setelah 3x gagal login – namun xlmrpc kalian tetap aktif, karena bruteforce bisa dilakukan darisana.
Fitur ini pun sering digunakan hacker untuk ddos websitenya dimana ddos ini menggunakan fitur pingback WordPress dan mengirimkan pingback dari ribuan IP ke server target dalam hitungan detik.
Bagaimana Cara Menonaktifkan XMLRPC pada WordPress
Ada beberapa cara menonaktifkan XMLRPC pada wordpress :
- Pilihan pertama ialah menginstall plugin disable XML-RPC pada wordpress kamu.
Jika kamu tidak suka menggunakan banyak plugin pada WordPress mu, kamu juga bisa mengikuti tutorial manual dibawah : - Pilihan kedua, menambahkan beberapa baris kode htaccess pada htaccess website mu :
Jika kamu menggunakan cPanel Litespeed / Apache webserver kamu bisa menambahkan baris kode dibawah pada .htaccess mu yang ada di public_html tepat dimana folder wordpress berada:<Files xmlrpc.php> order deny,allow deny from all </Files>
- Pilihan terakhir, jika kamu menggunakan server sendiri untuk menghost wordpress mu, dan menggunakan NGINX web server, kamu bisa menambahkan baris kode dibawah pada config virtualhost domain aktif mu :
location = /xmlrpc.php { deny all; return 404; access_log off; log_not_found off; }
Jadi dengan beberapa cara diatas, ketika sistem / visitor yang mengakses xmlrpc wordpress kita, akan dialihkan ke 404 not found.
Selesai, demikian penjelasan tentang Cara Menonaktifkan XMLRPC pada WordPress dan Mengapa Harus dimatikan?