Disable XML-RPC-API for WordPress

한동안 WordPress 사이트를 운영했다면 XML-RPC가 해커나 봇이 로그인을 망치는 시즌이 되었다는 끔찍한 이야기를 들어봤을 것입니다. 네, 그게 제가 WordPress용 XML-RPC-API 비활성화를 시도하게 만든 이유입니다. 이는 많은 공격의 대상이 되는 XML-RPC 인터페이스를 기본적으로 종료하여 사이트가 공격의 대상이 되는 것을 방지하는 간단한 플러그인입니다. 서버를 설정한 후 서버의 CPU 사용량이 떨어지는 것을 보기 전까지는 그것이 얼마나 중요한지 확신하지 못했습니다. 그리고 문이 하나 더 단단히 잠겨 있다는 사실을 알고 기분이 좋아졌습니다.

좋은 것들

정말 마음에 들었던 점은 설정이 매우 쉽다는 점이었습니다. 복잡한 구성이나 이상한 권한이 없습니다. 설치하고 활성화하면 boom-XML-RPC 액세스가 비활성화됩니다. 또한 xmlrpc.php를 맹목적으로 차단하지 않는다는 점도 마음에 들었습니다. 원하는 경우 IP를 화이트리스트에 추가할 수 있습니다. 이는 여전히 XML-RPC가 필요한 원격 앱이나 합법적인 서비스를 사용하는 경우 유용합니다. 또한 귀찮을 뿐만 아니라 DDoS 공격에 악용될 수도 있는 핑백 링크를 정리하므로 깔끔한 부가 보너스입니다.

또 다른 멋진 점은 XML-RPC 슬러그의 이름을 바꾸거나 JSON REST API를 비활성화하는 옵션입니다. 개인적으로 그렇게 많이 다루지는 않았지만 사이트가 외부 세계와 통신하는 방식을 좀 더 제어할 수 있는 추가 기능이 있다는 것은 좋은 일입니다. 그리고 WordPress 버전을 숨기시나요? 참견하기 쉬운 해커들이 추측을 계속하도록 하는 것이 항상 좋습니다.

그다지 좋지 않은 것

중요한 점은 이 플러그인이 매우 핵심적이라는 것입니다. 화려한 대시보드나 지속적인 알림이 없습니다. 어떤 사람들은 이것이 너무 중요하지 않다고 생각할 수도 있습니다. Jetpack이나 특정 모바일 앱과 같은 작업에 대해 XML-RPC에 크게 의존하는 경우 화이트리스트를 조정하지 않으면 작업 흐름이 중단될 수 있습니다. 게다가 누가 만들었는지, 얼마나 자주 업데이트되는지에 대한 정보도 별로 없어서 처음에는 잠시 멈췄습니다. 보안 플러그인은 엄격하게 유지되어야 하며 그렇지 않으면 쓸모 없게 될 위험이 있으므로 장기적으로 의존하기 전에 더 많은 투명성을 확인하고 싶습니다.

마지막으로, 무료 평가판이나 프리미엄 버전은 없지만 솔직히 그 기능으로는 괜찮습니다.

결론

WordPress 사이트를 운영 중이고 XML-RPC 공격을 빠르고 간단하게 차단하려면 WordPress용 XML-RPC-API 비활성화를 선택하는 것이 좋습니다. 무료이고 간단하며, 일단 활성화하고 나면 서버가 좀 더 쉬는 동안 잊어버릴 수도 있습니다. 정당한 이유로 XML-RPC가 필요한 경우 전체 보안 제품군을 대체하거나 도움이 될 것이라고 기대하지 마십시오. 대부분의 사람들, 특히 원격 WordPress 앱을 사용하지 않는 사람들에게 이 플러그인은 작업을 수행하고 소란 없이 작업을 좀 더 안전하게 유지합니다.