Cara Mematikan Fitur XML-RPC Pada Wordpress Untuk Meningkatkan Keamanan Website - Kita tahu Wordpress merupakan CMS yang sangat populer dan sudah banyak digunakan pada website website besar semenjak awal kemunculannya di Tahun 2004. Pada awalnya fitur XML-RPC pada Wordpress sangat berguna karena dulu kecepatan internet belum secepat seperti sekarang ini, dan sangat sulit untuk menulis konten di wordpress dengan koneksi yang stabil secara real time. Disini peran XML-RPC sangat berguna karena memungkinkan pengguna untuk menulis konten secara offline (Misalnya menggunakan Microsoft Word) baru kemudian mempublikasikannya sekaligus dalam satu waktu, dengan memanfaatkan fitur bawaan Wordpress yaitu XML RPC.
Untuk saat ini seiring dengan bertambahnya kecepatan internet dan semakin berkembangnya infrastruktur telekomunikasi, fitur XML RPC pada Wordpress menjadi hampir tidak berguna, fitur ini masih dipertahankan oleh Wordpress mengingat masih adanya beberapa plugin wordpress seperti JetPack yang memanfaatkan fitur ini.
Apabila Anda tidak menggunakan plugin jetpack, atau aplikasi Wordpress mobile ada baiknya untuk menonaktifkan fitur XML RPC. Mengapa? karena diluar sana banyak para peretas memanfaatkan setiap celah pada Wordpress termasuk pada XML RPC untuk mencoba membobol situs anda.
Kali ini saya akan memberikan tips bagaimana cara menonaktifkan fitur ini dan alasannya mengapa harus mematikan fitur XML-RPC
XML-RPC adalah salah satu fitur bawaan Wordpress. XML-RPC memungkinkan perangkat kita seperti ponsel untuk mengirimkan data ke website kita secara remote (tanpa kita mengkases langsung website kita). Misalnya kita ingin mempublish artikel, kita tidak perlu repot-repot mengkases situs, login lalu menulis artikel kemudian mempublikasikannya. Kita bisa menggunakan aplikasi Wordpress dan memanfaatkan smartphone kita untuk melakukannya.
Jika dilihat dari frasa katanya XML RPC memiliki dua makna, pertama RPC (Remote Procedure Call) yang berarti anda bisa melakukan tindakan atau aksi secara jarak jauh. Kemudian XML (Extensible Markup Language) digunakan untuk mengkodekan data yang perlu dikirim.
Baca Artikel : Cara Membuat Staging Wordpress Menggunakan Plugin
Untuk memutuskan apakah Anda memerlukan XML RPC, Anda harus memahami terlebih dahulu fungsi apa yang dilayani XMLRPC pada situs Wordpress kamu, setidaknya ada 3 fungsi utama :
Apabila Anda menggunakan aplikasi Wordpress pada smartphone Anda untuk memposting artikel di situs, Anda memerlukan XML RPC.
Saat Anda mempublikasikan konten, jika terdapat tautan (link) ke situs website lain, fitur XML-RPC akan bekerja dan memberitahu situs yang Anda tautkan tadi bahwa Anda mempublish konten dengan link tautan ke website tersebut.
JetPack juga salah satu plugin populer yang setidaknya sudah digunakan lebih dari 5 juta situs yang berbasis wordpress. Karena Jetpack menawarkan layanan yang terkait dengan keamanan, kinerja dan manajemen situs. Jetpack menggunakan fitur XML-RPC untuk berkomunikasi dengan Wordpress.com.
Baca Artikel : Cara Install Wordpress di Centos Web Panel (CWP)
Jawabannya adalah tidak. Tetapi ada baiknya kita tidak langsung menelan mentah mentah jawaban ini, mari kita sedikit flashback.
Awalnya, dulu sewaktu kita menginstall Wordpress secara default XML-RPC akan non aktif. Apabila kita ingin mengaktifkannya kita bisa lakukan melalui menu settings > writing > Remote Publishing. Tetapi mulai masuk ke versi 3.5 dan seterusnya, Wordpress secara default telah mengaktifkan fitur ini dan pilihan untuk menonaktifkannya telah dihapus.
Pada bulan September 2015, sebuah celah muncul di dalam fungsi XML-RPC. Wordpress dengan segera merilis patch untuk menambalnya di versi 4.4. Tetapi jutaan situs yang tidak mengerti dengan celah ini dan tidak mengupdate situs mereka terlanjur mengabaikannya dan banyak website yang menggunakan Wordpress diretas oleh hacker.
Menurut publikasi oleh para pengembang Wordpress fitur XML-RPC aman selama Anda sudah menggunakan versi Wordpress 4.4 ke atas.
Apabila fitur XML-RPC ini aman? Mengapa Saya Merekomendasikannya Untuk Menonaktifkannya? berikut ini penjelasannya..
Hacker (peretas) tidak akan lelah dan berhenti untuk menemukan elemen pada website Anda yang dinilai memiliki kelemahan. Mereka akan mencoba untuk mengeksploitasi lalu membobol website kamu. Dengan XML-RPC setidaknya ada dua kemungkinan kelemahan yang akan dimanfaatkan oleh peretas :
1. Saat Anda ingin mempublikasikan konten secara remote (menggunakan aplikasi wordpress) pada smartphone, permintaan XML-RPC dibuat. Permintaan ini diautentikasi dengan username dan password secara sederhana. Jika peretas berhasil mendapatkan kredensial ini mereka dapat menggunakannya untuk mengirim permintaan mereka sendiri. Dengan cara ini mereka akan mendapatkan akses penuh ke situs kamu.
2. XML-RPC dirancang bagi pengguna untuk mempublikasikan konten dalam jumlah yang banyak. Artinya tidak hanya 2-3 konten saja, bisa puluhan konten dalam satu permintaan. Hal ini memungkinkan serangan brute force terjadi dimana peretas mencoba membobol menggunakan bot untuk mencoba menebak username dan password akun kamu.
Terakhir, apabila peretas telah mendapatkan akses ke website kamu, mereka bisa menyalahgunakan fungsi pingback pada XML-RPC untuk melakukan serangan DDoS. Dalam serangan DDoS ini peretas akan mengirimkan pingback pada ribuan situs. Tujuannya untuk meningkatkan lonjakan data yang akan membuat server kualahan dan akhirnya mati.
Dengan ancaman keamanan seperti di atas, akan lebih baik jika kita melakukan pencegahan yaitu dengan cara mematikan fitur xml-rpc pada Wordpress. Pun jika masih ingin menggunakan fitur xml-rpc pada wordpress, akan lebih baik menggunakannya dalam versi Wordpress minimal 4.4 ke atas agar tetap aman.
Untuk memblokir permintaan xmlrpc.php WordPress, terdapat plugin bernama 'Disable XML-RPC' yang dapat Anda gunakan. Sangat mudah dan sederhana. Pertama login ke dashboard Wordpress Anda lalu masuk menu Plugins > Add New.
Pada kolom pencarian masukkan kata kunci Disable XML-RPC dan tunggu sebentar sampai hasil pencarian muncul.
Silahkan pilih plugin Disable XML-RPC klik Install Now lalu Klik Active. Setelah plugin akif plugin akan secara otomatis menonaktifkan fungsi XML-RPC. Sangat mudah bukan? Apabila Anda ingin mengaktifkan kembali fitur XML-RPC Anda tinggal men disable plugin ini atau menghapusnya.
Baca : Membuat Website Dengan CMS Wordpress
Ingat, jika Anda memilih untuk menggunakan fungsi XML-RPC, pastikan instalasi WordPress Anda diperbarui. Pastikan update Wordpress Anda ke versi terbaru untuk memastikan situs web Anda tidak berisiko diretas.
Jika Anda tidak memerlukan fitur XML-RPC, menonaktifkannya membuat situs Anda lebih aman dari peretas. Nah itulah penjelasan mengenai fitur XML-RPC pada Wordpress dan cara mematikan fitur XML-RPC tersebut.
Sekian ulasan hari ini, semoga bermanfaat! Untuk Anda yang sedang mencari layanan web hosting murah, domain lengkap atau VPS murah, bisa banget mencoba layanan hosting terbaik dari Jagoweb.
Ada berbagai paket hosting termasuk hosting gratis domain dengan harga terjangkau. Cek segera untuk dapatkan hosting terbaik versi Anda!
Tingkatkan kecepatan websitemu dengan hosting wordpress dari Jagoweb! Fasilitas lengkap membuat anda lebih mudah untuk mengelola website.
Hosting Wordpress Cek!