في الأيام الأولى لـ WordPress، كانت هناك ميزات تسمح لك بالتفاعل مع موقع الويب الخاص بك عن بعد. هذه الخصائص نفسها جعلت من الممكن بناء مجتمع من خلال السماح للمدونين الآخرين بالوصول إليه بلوق الخاص بك. الأداة الرئيسية المستخدمة لهذا الغرض هي " XML-RPC ".
« XML-RPC "، أو" XML استدعاء الإجراء البعيد يعطي قوة كبيرة لورد:
- الاتصال بموقعك باستخدام هاتف ذكي
- تشغيل TrackBacks وPingbacks بلوق الخاص بك
- الاستخدام المتقدم لجيت باك
ولكن هناك مشكلة مع " XML-RPC "، والتي يجب حلها للحفاظ على أمان بلوق وورد.
كيف يتم استخدام XML-RPC على وورد
دعنا نعود في الأيام الأولى من التدوين "(قبل فترة طويلة وورد) ، معظم المؤلفين على شبكة الإنترنت المستخدمة الطلب الهاتفي لتصفح الانترنت. كان من الصعب كتابة المقالات وإرسالها عبر الإنترنت. كان الحل هو الكتابة إلى جهاز الكمبيوتر الخاص بك في وضع عدم الاتصال و " ناسخة / كولر مقالك. وجد الأشخاص الذين استخدموا هذه الطريقة صعوبة خاصة لأن النص الخاص بهم غالبًا ما كان به رموز أجنبية ، حتى إذا تم حفظ المستند بتنسيق HTML.
أنشأت Blogger واجهة برمجة تطبيق (API) للسماح للمطورين الآخرين بالوصول إلى مدونات Blogger. كان يكفي تحديد اسم موقع الويب ، مما سمح للمستخدمين بإنشاء مقالات دون اتصال بالإنترنت ثم الاتصال بـ Blogger API من خلال XML-RPC. حذت أنظمة التدوين الأخرى حذوها ، وكان هناك في النهاية MetaWeblogAPI الذي وحد الوصول افتراضيًا.
بعد عشر سنوات ، أصبحت معظم تطبيقاتنا موجودة على هواتفنا وأجهزتنا اللوحية. أحد الأشياء التي يحب الناس فعلها بهواتفهم هو النشر على بلوق وورد. في 2008-09 ، أُجبرت شركة Automattic على إنشاء تطبيق WordPress لكل نظام تشغيل محمول تقريبًا (نفس بلاك بيري ويندوز موبايل).
سمحت هذه التطبيقات ، عبر واجهة XML-RPC ، باستخدام بيانات اعتماد WordPress.com للاتصال بموقع WordPress حيث لديك حقوق وصول معينة.
لماذا ننسى XML-RPC؟
التوافق مع XML-RPC كان جزءًا من WordPress منذ اليوم الأول. تم إصدار WordPress 2.6 في 15 يوليو 2008 ، وتفعيل " XML-RPC تمت إضافته إلى إعدادات WordPress ، والافتراضات إلى " خصم ".
بعد أسبوع ، تم إصدار نسخة من WordPress لأجهزة iPhone ، وطُلب من المستخدمين تنشيط الميزة. بعد أربع سنوات من انضمام تطبيق iPhone إلى العائلة ، قام WordPress 3.5 بتنشيط " XML-RPC ".
نقاط الضعف الرئيسية المرتبطة XML-RPC هي:
- هجمات القوة الغاشمة: يحاول المهاجمون تسجيل الدخول إلى WordPress باستخدام xmlrpc.php مع العديد من مجموعات اسم المستخدم وكلمة المرور. لا توجد قيود المحاكمة. تسمح طريقة في xmlrpc.php للمهاجم باستخدام أمر واحد (system.multicall) لتخمين مئات من كلمات السر.
- هجمات الحرمان من الخدمة عبر Pingback
الراحة مقابل الأمن وورد
لذلك ، هنا نذهب مرة أخرى. العالم الحديث ممل للغاية مع حلولها الوسطية.
إذا كنت تريد التأكد من عدم قيام أحد بإحضار قنبلة على قاربك ، فما عليك سوى تشغيلها من خلال أجهزة الكشف عن المعادن. إذا كنت ترغب في حماية سيارتك أثناء التسوق ، أغلق الأبواب وأغلق النوافذ. لا يمكنك الاعتماد فقط على كلمة مرور موقع الويب لحمايته (هل توفر نوافذ السيارة حماية كافية؟)، خاصة إذا كنت تستخدم Jetpack لأو التطبيقات النقالة.
كيفية تعطيل XML-RPC على وورد
لذلك ، أصبحت معتمدًا على كل هذه الأدوات التي تعتمد بدورها على XML-RPC. أتفهم أنك لا تريد حقًا إيقاف تشغيل "XML-RPC" حتى لبعض الوقت.
ومع ذلك ، إليك بعض المكونات الإضافية التي ستساعدك على القيام بذلك:
- وقف هجوم XML-RPC : يسمح فقط لـ Jetpack والأدوات التلقائية الأخرى بالوصول إلى xmlrpc.php من خلال htaccess.
- السيطرة XML-RPC النشر: ببساطة يعيد خيار النشر البعيد القديم إلى خيارات الكتابة.
- iThemes Security, مكافحة البرامج الضارة الأمن و القوة الغاشمة جدار حماية et الكل في واحد WP Security & Firewallتتضمن أدوات الأمان للأغراض العامة حماية القوة الغاشمة في الإصدارات المجانية. إنهم يتابعون محاولات تسجيل الدخول المتكررة باستخدام xmlrpc.php أو بدونه ويحمونك من الاستعلامات التي تحاول كسر موقعك.
الراحة (و OAuth) إلى الإنقاذ
الآن قد تعلم أن مطوري WordPress يتجهون إلى حل REST. واجه المطورون في فريق REST API بعض المشكلات في الاستعداد ، بما في ذلك مع عملة المصادقة التي تهدف إلى حل مشكلة XML-RPC. عندما يتم تنفيذ هذا أخيرًا (من المقرر حاليًا لـ WordPress 4.7 في نهاية 2016) ، لن تضطر إلى استخدام XML-RPC للاتصال مع برنامج مثل JetPack.
بدلاً من ذلك ، ستتم المصادقة عبر بروتوكول OAuth. إذا كنت لا تعرف ماهية بروتوكول OAuth ، فتذكر ما يحدث عندما يطلب منك موقع الويب تسجيل الدخول باستخدام Google أو Facebook أو حتى Twitter. عمومًا على هذه الأنظمة ، يكون البروتوكول المستخدم هو بروتوكول OAuth.
اختبار WordPress REST API
كما قلت سابقًا ، لم يتم دمج واجهة برمجة تطبيقات REST بعد في جوهر WordPress ، ولن تكون كذلك لعدة أشهر. اليوم يمكنك البدء في اختباره في بيئات الاختبار الخاصة بك:
سيكون Rest API بالتأكيد مستقبل WordPress. لقد كتبنا بالفعل العديد من البرامج التعليمية حول هذا الأخير والتي ستمنحك أفكارًا حول كيفية البدء في تنفيذه:
- كيف تعرف متى تستخدم Rest API
- كيفية استخدام Rest API
- 7 تطبيقات فعالة لـ Rest API
- كيفية استخدام WordPress HTTP API
هذا كل شيء في هذا البرنامج التعليمي. آمل أن تكون على دراية أفضل بالمخاطر المرتبطة باستخدام XML-RPC. لا تتردد في طرح الأسئلة علينا في استمارتنا تعليقات.
