Loncat ke Konten Utama

Kerentanan Pingback: Cara Melindungi Situs WordPress Anda

Pingbacks mungkin memberi tahu Anda saat ada orang yang berbicara tentang kiriman Anda. Mereka mungkin juga menyajikan peningkatan Pengoptimalan Mesin Telusur (pengoptimalan mesin telusur) dengan tautan balik yang bermanfaat, dan meningkatkan keahlian pelanggan situs web Anda. Namun, pingback juga dapat membantu peretas meluncurkan serangan Distributed Denial of Service (DDoS) yang bertentangan dengan situs web Anda.

Untungnya, ketika Anda menentukan bahwa bahayanya jauh lebih besar daripada keuntungannya, pingback dapat dinonaktifkan. Dengan memblokir proses XML-RPC yang memberdayakan karakteristik WordPress yang kontroversial ini, Anda dapat melindungi situs web Anda dari serangan DDoS dan menghindari waktu henti.

Dalam teks ini, kita akan melihat mengapa pingback juga dapat menempatkan situs web Anda dalam bahaya, dan bagaimana seseorang dapat memeriksa apakah XML-RPC diaktifkan di situs web WordPress spesifik Anda atau tidak. Kami kemudian akan membagikan tiga strategi untuk menonaktifkan kinerja yang berpotensi berbahaya ini. Ayo mulai!

Pengenalan pingback WordPress

Pingback adalah pemberitahuan yang muncul di situs web Anda bagian komentar. Mereka menunjukkan bahwa satu situs web lain telah ditautkan lagi ke materi konten Anda:

Contoh pingback.

Di WordPress, pingback diaktifkan secara default. Ini membantu Anda memantau hyperlink masuk. Anda kemudian dapat membalas setiap pingback yang sesuai. Misalnya, Anda dapat mengambil kesempatan ini untuk berinteraksi dengan pasokan backlink di bagian umpan balik salah satu pos mereka. Ini juga dapat membantu bangun reputasi Anda sebagai pembuat konten yang menyenangkan dan mudah didekati.

Selain itu, jika satu situs web lain menyebutkan materi konten Anda secara positif, keputusan Anda adalah orang lain untuk mempelajarinya. Anda dapat memperkuat publikasi mereka dengan membagikannya melalui individu Anda sosial jaringan.

Sayangnya, tidak ada jaminan bahwa semua yang disebutkan kemungkinan besar akan membangun. Namun, biasanya Anda dapat meningkatkan profil publik Anda dengan menanggapi penyebutan negatif, secara relatif daripada hanya mengabaikannya.

Pingback juga mungkin mengarahkan lalu lintas ke situs web Anda, karena orang-orang mematuhi hyperlink masuk ini ke materi konten Anda. Selain itu, tautan balik adalah masalah peringkat untuk banyak layanan. Jika Anda menangani banyak pingback yang aman, itu mungkin meningkatkan peringkat Anda dan pengunjung alami.

Sayangnya, pingback memiliki aspek yang gelap. WordPress memanfaatkan Antarmuka XML-RPC untuk mengizinkan mereka, yang sebaliknya dapat dimanfaatkan oleh peretas untuk melakukan serangan Distributed Denial of Service (DDoS) yang bertentangan dengan situs web Anda.

Sebagai bagian dari serangan ini, seorang peretas menggunakan XML-RPC untuk mengirimkan banyak pingback ke situs web Anda dalam jangka waktu yang singkat. Ini membebani server Anda dan akan membuat situs web Anda offline. Hasilnya bisa diwujudkan waktu henti yang mahal dan menurun tingkat konversi.

Peretas juga dapat menggunakan pingback untuk mengungkapkan alamat IP publik umum dari pengaturan WordPress yang dilindungi dan melewati keamanan tingkat Domain Name System (DNS). Beberapa peristiwa berbahaya bahkan menggunakan pingback untuk memindai port terbuka yang lemah. Dengan semua pemikiran ini, Anda mungkin ingin mempertimbangkan untuk menonaktifkan karakteristik ini di situs WordPress Anda.

Cara memeriksa XML-RPC di situs Anda untuk melihat apakah pingback diaktifkan

Sejak WordPress 3.5, antarmuka XML-RPC telah diaktifkan secara default. Namun, tidak ada jaminan bahwa hal ini tetap berlaku di versi WordPress berikutnya. Jika Anda membagikan situs WordPress Anda dengan kolaborator lainnya, ada juga kemungkinan mereka telah mengubah pengaturan XML-RPC Anda tanpa data Anda.

Sebelum menonaktifkan XML-RPC, selalu ada nilai yang memverifikasi bahwa antarmuka ini diaktifkan di situs WordPress spesifik Anda. Anda dapat dengan cepat dan mudah memeriksa statusnya menggunakan Alat Validator XML-RPC:

Alat Validasi XML-RPC.

Dalam majalah Alamat area, masukkan URL situs web Anda. Kemudian klik Memeriksa. Jika perangkat Validator menampilkan pesan kesalahan, ini berarti XML-RPC dinonaktifkan. Jika Anda menemukan pesan hit, mungkin Anda ingin mempertimbangkan menonaktifkan pingback dengan tujuan untuk melindungi situs Anda dari serangan terkait.

Cara melindungi situs web Anda dari kerentanan pingback WordPress (3 metode)

WordPress membuatnya mudah untuk menonaktifkan pingback pada posting masa depan. Cukup navigasikan ke Pengaturan> Diskusi di dasbor Anda dan hapus pilihan terkait:

Pengaturan diskusi pingback.

Anda juga dapat menonaktifkan pingback untuk posting tertentu di dalam editor:

Pengaturan pingback level pasca.

Namun, dengan maksud untuk menonaktifkan pingback sepenuhnya di seluruh situs web Anda, Anda harus mengambil beberapa langkah lebih lanjut. Ada beberapa cara lain yang dapat Anda lakukan dengan mengandalkan tujuan dan tahap bakat Anda.

Metode 1: Nonaktifkan XML-RPC secara manual

Anda dapat memblokir semua permintaan XML-RPC yang masuk sebelum mereka diserahkan ke WordPress. Teknik ini memang mengharuskan Anda untuk mengedit .htaccess, yang merupakan file konfigurasi yang memberi tahu server Anda cara menangani banyak permintaan. Jika Anda tidak cukup mudah memodifikasi situs web Anda pada tahap kode, kami sarankan untuk mencoba salah satu dari banyak strategi berbeda di bawah.

Sebelum memodifikasi file .htaccess file, itu konsep yang bijaksana untuk buat cadangan lengkap. Bahkan kesalahan mudah yang mirip dengan kesalahan ketik akan menjadi bencana saat mengubah kode situs web Anda. Dengan membuat cadangan, Anda akan memiliki satu hal untuk dihidupkan kembali, jika Anda menemukan poin apa pun.

Anda bisa masuk .htaccess memanfaatkan yang paling Anda sukai File Transfer Protocol (FTP) konsumen. Kami akan memanfaatkan FileZilla, namun langkah-langkah tersebut sebagian besar harus sama untuk instrumen yang tersebar luas. Setelah konsumen Anda terhubung dengan server Anda, temukan .htaccess di folder root situs Anda:

Mengakses .htaccess melalui FileZilla.

Jika folder basis tidak menyertakan file .htaccess file, mungkin Anda ingin memilih konsumen Anda Paksa menampilkan informasi tersembunyi kemungkinan.

Selanjutnya, buka .htaccess di editor konten tekstual, mirip dengan Edit Teks. Tambahkan berikutnya:

<Files xmlrpc.php>
order deny,enable
deny from all
</Files>

Kemudian simpan penyesuaian Anda. Untuk mengonfirmasi bahwa XML-RPC sekarang dinonaktifkan, coba kerjakan net tackle Anda dengan perangkat Validator XML-RPC sekali lagi. Sekarang seharusnya menampilkan pesan kesalahan.

Metode 2: Matikan pingback dengan cuplikan kode

Anda juga dapat mengaktifkan dan menonaktifkan antarmuka XML-RPC cuplikan kode. Cuplikan kode adalah pendekatan yang berguna untuk menambahkan berbagai fungsi ke situs web Anda tanpa harus memasukkan sejumlah plugin. Meminimalkan variasi plugin di situs Anda bisa membuatnya lebih mudah dirawat dan mungkin juga meningkatkan keamanannya secara keseluruhan.

Pelanggan ManageWP dapat menambahkan cuplikan kode langsung dari dasbor mereka. Setelah masuk ke akun Anda, navigasi ke Alat Lainnya> Cuplikan Kode:

Memasukkan cuplikan pingback di dasbor ManageWP.

Sekarang Anda dapat menempelkan kode berikutnya ke editor cuplikan kode ManageWP:

<?php
//Disable XML-RPC
add_filter('xmlrpc_enabled', '__return_true');

Atau, Anda dapat menambahkan cuplikan ini ke situs web Anda menggunakan Plugin Kode Cuplikan. Setelah mengaktifkannya, navigasikan ke Cuplikan> Tambahkan Baru:

Plugin Cuplikan Kode WordPress.

Kemudian salin dan tempel cuplikan di atas ke editor kode. Kami juga menyarankan untuk menyertakan garis besar yang dengan jelas menjelaskan apa yang dilakukan cuplikan ini, dan mengapa Anda memasukkannya ke situs web Anda. Ini dapat membuat hidup Anda lebih sederhana ketika Anda harus mengunjungi kembali cuplikan kode Anda. Ini juga meningkatkan transparansi saat Anda membagikan situs WordPress Anda dengan orang lain.

Saat Anda benar-benar puas dengan potongan Anda, klik di Mengaktifkan dan periksa apakah XML-RPC dinonaktifkan menggunakan XML-RPC Validator.

Metode 3: Gunakan plugin untuk menonaktifkan XML-RPC

Terakhir, Anda juga dapat menonaktifkan antarmuka XML-RPC menggunakan plugin. Kami akan memanfaatkan Nonaktifkan XML-RPC-API.

Setelah memasukkan dan mengaktifkannya, Nonaktifkan XML-RPC-API akan mematikan pingback tanpa memerlukan gerakan tambahan dari Anda. Anda akan mendapatkan pesan penegasan di plugin tampilan layar:

Pesan konfirmasi plugin Disable XML-RPC-API.

Jika Anda memutuskan bahwa Anda hanya ingin mengaktifkan XML-RPC lagi, yang harus Anda lakukan hanyalah menonaktifkan plugin.

Kesimpulan

Meskipun ada beberapa hal positif dari pingback, mereka juga akan mengekspos situs web Anda ke serangan Distributed Denial of Service (DDoS) yang berbahaya. Serangan DDoS yang menguntungkan mungkin berakhir dengan waktu henti, pengunjung salah tempat, dan kehilangan konversi bersama dengan penjualan kotor.

Menghadapi hukuman ini, Anda mungkin akan memutuskan untuk menonaktifkan pingback. Mari rekap pilihan Anda:

  1. Nonaktifkan XML-RPC secara manual.
  2. Matikan XML-RPC dengan file potongan kode.
  3. Gunakan plugin yang mirip dengan Nonaktifkan XML-RPC-API.

Apakah Anda mendapat pertanyaan tentang mempertahankan situs web Anda yang bertentangan dengan kerentanan pingback WordPress? Tanyakan di bagian umpan balik di bawah!

Skor kredit Gambar Unggulan: Unsplash.

Posting Ini Memiliki 0 Komentar

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai *

Kembali ke atas