5 Cara Nonaktifkan Xmlrpc.php WordPress OpenliteSpeed

5 Cara Nonaktifkan Xmlrpc.php WordPress OpenliteSpeed

Xmlrpc.php WordPress OpenLiteSpeed ​​itu sebenarnya simpel banget, loh. Cuma tinggal nambahin satu baris aturan rewrite di webadmin OpenLiteSpeed, masalah langsung kelar gitu.

Nah, memang solusi itu keliatannya gampang banget begitu udah ketemu, tapi buat pemula kaya ane, sebenernya nggak semudah itu. Di prakteknya, seringkali butuh berjam-jam buat bergeliria ke forum-forum buat cari solusi masalah yang ada.

Oke, di tutorial kali ini, ane bakal jelasin lebih detail kenapa kita harus matiin fitur xmlrpc.php dan gimana cara matiinnya secara manual. Tapi sebelum itu, sebaiknya ente kenalan dulu sama apa itu xmlrpc.php.

Pengertian Xmlrpc.php

Jadi, menurut info yang ane dapet dari situs resminya. XML-RPC tuh fitur yang berfungsi buat ngirim data antara dua sistem operasi yang beda, lewat internet. Nah, HTTP berperan sebagai transportnya, sedangkan XML sebagai encoding-nya.

Di masa pandemi kayak gini, fitur XML-RPC bakal bermanfaat banget, terutama buat orang-orang yang kerja dari rumah (WFH). Fitur ini bisa memudahkan ente buat ngeremote komputer dari jarak jauh pake smartphone atau perangkat lain buat posting di situs.

Pas fitur inti diaktifin lewat xmlrpc.php, ente bisa bikin koneksi ke situs lewat smartphone, dengan cara nge-trackback dan pingback dari situs itu.

Baca Juga: Cara Setting Wordfence Security pada OpenLiteSpeed

Mengapa Xmlrpc.php Harus Dinonaktifkan?

Alasannya simpel aja, sih. Berkaitan sama keamanan situs, khususnya yang pake platform WordPress. Masalahnya bukan langsung ke xmlrpc.php-nya sendiri, tapi lebih ke fakta bahwa file itu bisa dimanfaatin buat serangan. Buat lebih jelasnya, langsung aja kita bahas pake contoh kasus.

Jadi, pas ane lagi nge-monitor situs, awalnya servernya jalan normal aja, nggak ada aktivitas yang mencurigakan. Tapi tiba-tiba, penggunaan vCPU-nya naik drastis. Nah, itu tanda-tanda kalo situs lagi kena serangan, salah satunya lewat fitur xmlrpc.php.

Itu terjadi karena ada yang nyusup dalam mode offline lewat serangan DDoS, terus dia jalanin satu baris perintah buat cek file mana yang lemah, dengan cara ngaktifin fitur pingback yang ngirim permintaan ke sumber daya situs. Nah, kabar buruknya, xmlrpc.php itu punya peluang buat serangan kalo diaktifin.

Kalo ente beruntung, dan serangan itu dari seorang BBH, biasanya mereka cuma bakal ngasih peringatan tentang kelemahan situs. Tapi kalo kasusnya lebih kompleks, biasanya mereka bakal nawarin bayaran buat ngatasi masalah keamanan situs.

Tapi kali ini, ane nggak bakal bahas soal itu, deh. Mungkin nanti ane bahas topik itu lain waktu.

Baca Juga: Cara Setting Hotlink Protection Htaccess Openlitespeed

Menonaktifkan Xmlrpc.php dengan Htaccess Openlitespeed

Oke, sekarang kita mau matiin xmlrpc.php pake Htaccess OpenLiteSpeed secara manual.

Setelah paham kenapa ente harus matiin xmlrpc.php, langkah selanjutnya adalah matiin file itu secara manual. Metode manual ini katanya bisa nge-stop semua permintaan ke xmlrpc.php dengan nambahin aturan rewrite di file htaccess.

Langkah 1: Cek Status Xmlrpc.php

Langkah pertama yang perlu dilakukan yaitu memeriksa terlebih dahulu status xmlrpc aktif atau nggak. Ente tinggal masukin kode berikut di browser:

https://Nama_Domain_com/xmlrpc.php

Xmlrpc1

Kalo udah masukin kode itu dan muncul “Server XML-RPC accepts POST request only,” berarti status xmlrpc.php di situs WordPress ente masih aktif.

Langkah 2: Menonaktifkan Xmlrpc.php melalui Server

Pada tahap ini, yang pertama harus ente lakuin adalah login ke server lewat SSH. Terus, akses file htaccess di server dengan ngetikin kode berikut:

Pake Nano Editing:

Kondisi Htaccess Default
sudo nano /usr/local/lsws/example/html/wordpress/.htaccess

Kondisi Htaccess sudah di custom 
sudo nano /usr/local/lsws/ Ubah_Sesuai_Path /html/wordpress/.htaccess

Pake Vi Editing:

Kondisi Htaccess Default
sudo vi /usr/local/lsws/example/html/wordpress/.htaccess

Kondisi Htaccess sudah di custom
sudo vi /usr/local/lsws/Ubah_Sesuai_Path/html/wordpress/.htaccess

Kalo udah ketikin kode itu, ente bakal diarahin ke file htaccess di server. Nah, masukin aja 3 kode berikut sesuai kebutuhan.

Khusus mematikan xmlrpc

<IfModule mod_rewrite.c>
RewriteRule xmlrpc - [F,L]
</IfModule>

Menonaktifkan 2 file yang rentan hits > xmlrpc.php dan wp-trackback.php

<IfModule mod_rewrite.c> 
RewriteRule ^/(xmlrpc\.php|wp-trackback\.php) - [F,L,NC]
</IfModule>

Menonaktifkan akses pada alamat Ip tertentu

<IfModule mod_rewrite.c>
RewriteCond %{REMOTE_ADDR} !^1\.1\.1\.1 
RewriteRule xmlrpc - [F,L]
</IfModule>

Ingat ya, ente harus ubah kodenya sesuai kebutuhan, terus masukin ke file htaccess. Biar lebih jelas, liat contoh gambar di bawah ini:

xmlrpc htaccess

Setelah ente masukin kode-kode itu, langsung aja simpen dan restart server biar semua perubahan yang lo lakuin bisa langsung ke-apply.

Caranya simpen di Nano Editor: CTRL + X > Y > Enter
Caranya edit dan simpen di Vi Editor: + i > CTRL C > :wq

service lsws restart

Atau bisa juga

service lsws restart && killall lsphp

Langkah 3: Menonaktifkan Xmlrpc.php melalui WebAdmin

Pertama-tama, akses dulu WebAdmin dengan ngetikin alamat IP atau nama domain yang diikuti dengan port 7080 di browser:

IP_Addess_Atau_Nama_Domain_:7080 (Port Default)

Terus, ente masukin aja kode aturan rewrite htaccess di atas ke tab Rewrite Rules. Lebih jelasnya, ikutin panduan dan liat contoh gambar berikut:

Virtual Host > Host Virtual List > View

xmlrpc htaccess2

Rewrite > Rewrite Rules

xmlrpc htaccess3

Kalo kode htaccess udah dimasukin dan ente simpen perubahannya, restart server lewat WebAdmin dengan cara klik ikon di pojok kanan atas.

Cara Instal WordPress OpenLiteSpeed ​​di Ubuntu 20.04 gambar 3

Langkah 4 : Pengujian

Ingat, di tahap pengujian ini, cuma perlu masukin perintah di browser sesuai panduan awal, dan pastiin juga udah ubah kode aturan rewrite htaccess sesuai yang ente butuhin.

https://Nama_Domain_/xmlrpc.php

Kalo ente udah masukin perintah itu dan yang muncul sama persis kayak di contoh gambar, berarti semua proses yang dilakuin udah SUKSES.

Xmlrpc2

 

Baca Juga: 3 Cara Mengamankan Website WordPress OpenLiteSpeed

Kesimpulan

Jadi, kesimpulannya, xmlrpc.php di WordPress itu emang solusi terbaik, terutama di masa pandemi. Karena bisa bantu buat publish postingan secara remote. Tapi, walaupun ada kemudahan yang ditawarin, ente harus tetep perhatiin masalah keamanan. Kalo nggak segera diatasi, fitur ini justru bisa jadi celah buat disusupi, dan akhirnya bisa berdampak buruk ke situs WordPress lo.

Nah, buat sekarang, pastiin aja ente jaga keamanan situs dengan matiin file XML-RPC sesuai panduan yang udah ane bahas tadi. Harapannya sih, ke depannya xmlrpc.php dikembangin biar akses remote bisa dilakuin tanpa ngorbanin keamanan.

Jadi, gitu deh artikel tentang cara matiin serangan xmlrpc.php di WordPress pake Htaccess OpenLiteSpeed. Mudah-mudahan bisa bermanfaat. Kalo ada pertanyaan atau saran yang lebih efektif buat masalah ini, jangan ragu buat tinggalkan komentar ya.

Baca itu Gak Ada Ruginya

BACA JUGA INI