В связи с тем, что в последнее время участились случаи взлома WordPress через уязвимости в xmlrpc.php мы были вынуждены по умолчанию заблокировать данный файл.
Зачем нужен xmlrpc.php и как его блокировка влияет на работу CMS WordPress?
Файл xmlrpc.php отвечает в WordPress за удаленную работу. Это своего рода API-доступ для сторонних скриптов и программ которая дает возможность выполнять практически любые действия удаленно. В самом скрипте, доступ к xmlrpc.php предоставляется по умолчанию, чем успешно и пользуются злоумышленники. При этом, более 90% клиентов не используют данный функционал.
Если по какой-то причине, клиент хочет работать со своим сайтом через xmlrpc.php (например редактировать сайт через специальное мобильное приложение) ему необходимо создать .htaccess файл со следующим содержимым:
<Files xmlrpc.php>
Order Deny,Allow
Allow from all
</Files>
Сам файл нужно расположить в корне папок вашего FTP-аккаунта. Клиенты могут применять и более “тонкие настройки, предоставляя доступ к файлу только с определенных айпи адресов.
Пример:
<Files xmlrpc.php>
Order Deny,Allow
Allow from 197.143.50.248
</Files>
Где 197.143.50.248 это IP с которого доступ разрешен.