С выходом WordPress 3.8.2 некоторые пользователи на форумах поддержки WordPress.org сообщили о том, что обновление отключило XML-RPC, что в итоге привело к проблемам в работе мобильных приложений. У многих пользователей, сообщивших о проблеме, был установлен плагин Wordfence Security. Wordfence Security – это популярный плагин, который имеет более 1.5 миллионов загрузок и используется для защиты WordPress-сайтов.
Недавнее обновление Wordfence отключило XML-RPC в WordPress, чтобы воспрепятствовать использованию легитимных сайтов в качестве «зомби» для проведения DDoS-атак через уведомления. В результате одновременного выхода WordPress 3.8.2 и новой версии Wordfence многие пользователи стали грешить на версию WP 3.8.2. Эндрю Нейсин, ведущий разработчик WordPress, в специальной теме ответил, почему обновление Wordfence является некорректным и не несет в себе никакой пользы для людей:
«Журнал изменений содержит в себе следующую строку: «Отключение XML-RPC в WordPress для предотвращения использования сайтов в DDoS-атаках». Проблема в том, что такие «атаки» основаны на уведомлениях. Однако исправление фактически отключает все, что связано с XML-RPC, кроме этих самых уведомлений, тем самым нарушая работоспособность мобильных приложений и других компонентов, однако позволяя по-прежнему отправлять уведомления»
«Если вы хотите отключить уведомления, то отключите именно их. А лучше – не делайте вообще ничего, поскольку такие атаки не слишком эффективны и самые свежие версии WordPress и Akismet прекрасно справляются с проверкой уведомлений; Akismet к тому же быстро обнаруживает любые злоупотребления».
Разработчики Wordfence отметили, что они выявили ошибку, и будут пересматривать внедренное исправление. Пока они этого не сделали, перейдите к странице настроек плагина и выберите Other Options. Снимите галочку с пункта «Disable XML-RPC for DDoS protection».
Обновление WordPress и Akismet до свежих версий
Network Solutions недавно разослали своим клиентам советы по безопасности, в которых говорится о том, что в последнее время участились DDoS-атаки на WordPress, а потому нужно установить плагин Disable XML-RPC для отключения уведомлений. В то время как этот плагин отключает XML-RPC API, он не трогает уведомления и обратные ссылки.
Самое лучшее решение в такой ситуации – обновиться до WordPress 3.8.2, если вы еще так не сделали. Также стоит обновить Akismet до свежей версии. WordPress и Akismet выявляют DDoS-атаки, связанные с уведомлениями, без необходимости отключения всего XML-RPC.