WordPress, dünyada en çok kullanılan içerik yönetim sistemlerinden biri olduğu için siber saldırganların da en çok hedef aldığı platformlardan biridir. WordPress güvenliğini sağlamak, yalnızca güçlü şifreler kullanmakla sınırlı değildir; sistemde açık oluşturabilecek özelliklerin doğru şekilde yönetilmesi gerekir. Bu özelliklerden biri de çoğu site için gereksiz olan XML-RPC’dir.
XML-RPC Nedir?
XML-RPC, WordPress sitenizin uzaktan erişimle kontrol edilmesini sağlayan bir protokoldür. Özellikle:
- Mobil WordPress uygulamaları
- Uzak blog yayınlama araçları
- Bazı üçüncü parti entegrasyonlar
için geliştirilmiştir. Ancak günümüzde WordPress REST API varken, XML-RPC çoğu site için işlevini yitirmiştir.
XML-RPC Neden Güvenlik Riski Oluşturur?
XML-RPC açık bırakıldığında siteniz aşağıdaki saldırılara açık hale gelir:
1- Brute Force (Şifre Deneme) Saldırıları
XML-RPC, tek bir istekte birden fazla giriş denemesine izin verir. Bu durum saldırganların şifreleri çok hızlı denemesine olanak tanır.
2- DDoS ve Pingback Saldırıları
XML-RPC üzerinden yapılan pingback özelliği, sitenizin istemeden başka sitelere saldırı aracı olarak kullanılmasına neden olabilir.
3- Gizli Güvenlik Açıkları
Birçok bot ve otomatik saldırı yazılımı, ilk olarak xmlrpc.php dosyasını hedef alır. Bu dosya erişime açıksa, siteniz risk altındadır.
XML-RPC kullanmıyorsanız açık bırakmanız için hiçbir teknik gerekçe yoktur.
XML-RPC Devre Dışı Bırakılmalı mı?
Evet, kesinlikle.
Eğer:
- WordPress mobil uygulamasını kullanmıyorsanız
- Jetpack gibi XML-RPC’ye bağımlı eklentileriniz yoksa
XML-RPC’yi devre dışı bırakmak sitenizin güvenliğini ciddi ölçüde artırır.
WordPress’te XML-RPC Nasıl Devre Dışı Bırakılır?
1. Eklenti Kullanarak (En Kolay Yöntem)
Aşağıdaki eklentilerle tek tıkla devre dışı bırakabilirsiniz:
- Disable XML-RPC
- WP Cerber Security
- Wordfence Security
Bu eklentiler aynı zamanda brute force saldırılarına karşı ek koruma sağlar.
2. .htaccess Dosyası ile (Sunucu Seviyesinde)
Apache sunucu kullanıyorsanız .htaccess dosyasına şu kodu ekleyebilirsiniz:
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
Bu yöntem, XML-RPC’ye gelen tüm istekleri tamamen engeller.
3. functions.php ile Devre Dışı Bırakma
Tema dosyanıza aşağıdaki kodu ekleyebilirsiniz:
add_filter('xmlrpc_enabled', '__return_false');
Tema değiştirildiğinde bu kod silinebilir. Kalıcı çözüm için eklenti önerilir.
XML-RPC’yi Tamamen Kapatmadan Güvenli Hale Getirmek
Bazı kullanıcılar XML-RPC’yi kapatmak istemeyebilir. Bu durumda:
- Sadece belirli IP’lere izin verin
- Rate limiting (istek sınırlandırma) uygulayın
- WAF (Web Application Firewall) kullanın
Ancak unutulmamalıdır ki en güvenli XML-RPC, kapalı olanıdır.
XML-RPC Dışında WordPress Güvenliği İçin Ek Öneriler
Makalenin konusuyla doğrudan bağlantılı olarak şu önlemler de önerilir:
- wp-admin ve wp-login.php için iki faktörlü doğrulama
- Varsayılan admin kullanıcı adını değiştirme
- Düzenli WordPress, tema ve eklenti güncellemeleri
- Güvenlik duvarı (WAF) ve saldırı kayıtlarını izleme
- Düzenli yedekleme
Güvenlik tek bir ayar değil, bütüncül bir süreçtir.
WordPress sitenizi korumanın en etkili ve kolay yollarından biri XML-RPC’yi devre dışı bırakmaktır. Kullanılmayan her açık özellik, potansiyel bir saldırı kapısıdır. Gereksiz risk almayın; XML-RPC’yi kapatın ve güvenliğinizi güçlendirin.
