Yasin K Yasin K is a Technical Content Writer for Niagahoster Blog. Other words are unimportant things you will never need to know. Let the content speak for itself :)

Mengapa Anda Harus Menonaktifkan Xmlrpc.php?

4 min read

xmlrpc php

WordPress mempunyai script atau spesifikasi berisi kumpulan fungsi yang memungkinkan sistem dapat berkomunikasi dengan sistem lainnya, yaitu XML-RPC. Mekanisme transportasi XML-RPC menggunakan HTTP, dan XML sebagai mekanisme pengkodean yang memungkinkan berbagai data dapat ditransmisikan. XML-RPC dirancang sesederhana mungkin supaya struktur data yang kompleks dapat ditransmisikan, diproses, dan dikembalikan.

Adanya XML-RPC di WordPress memungkinkan Anda untuk mengakses website dari berbagai tempat. Hal ini memudahkan pengguna atau blogger untuk memposting dari perangkat desktop atau perangkat seluler ke website online. Ketika mengkoneksikan antara perangkat offline dengan online, Anda membutuhkan akses remote yang dapat diaktifkan menggunakan xmlrpc.php.

Sayangnya, saat ini ada beberapa masalah yang terjadi ketika XML-RPC berjalan di WordPress, seperti pelaku kejahatan cyber yang memanfaatkan file ini untuk mengumpulkan informasi login atau menjadikannya sebagai target serangan brute force.

WordPress API hadir di tengah-tengah masalah yang dialami XML-RPC. Adanya WordPress API dengan RESful API seperti menjadi angin segar di dalam penerapan komunikasi antar sistem di masa yang akan datang –menggantikan xmlrpc.php. WordPress API menghadirkan lebih banyak fleksibilitas, keamanan yang lebih baik, dan bentuk data yang lebih sederhana.

Namun, sebelum Anda memutuskan untuk menonaktifkan xmlrpc.php, akan lebih baik jika mengetahui terlebih dahulu bagaimana peran file ini di dalam perkembangan WordPress dari awal sampai dengan saat ini.

Baca juga: wp-config.php: Cara Setting & Penggunannya di WordPress Anda

Apa itu xmlrpc.php?

XML-RPC adalah protokol yang memungkinkan beberapa sistem dapat saling terhubung menggunakan jaringan internet.

WordPress menggunakan XML-RPC supaya dapat mentransformasikan data dan berkomunikasi dengan sistem lainnya, di mana HTTP berperan sebagai transport dan XML sebagai encoding.

Xmlrpc.php yang digunakan oleh WordPress memungkinkan Anda untuk mengakses WordPress menggunakan perangkat mobile, menjalankan trackback dan pingback dari website lain, serta mengaktifkan beberapa fungsi yang terkait dengan plugin WordPress.

WordPress XML-RPC: Sejarah & Perkembangannya

Pada masa awal perkembangan WordPress, kondisi internet masih lambat sehingga membuat sebagian besar orang memilih menulis secara offline. Maka dari itu, dibuatlah platform bloging secara offline seperti WordPress online maupun perangkat editor yang ada di desktop.

Apabila ingin menerbitkan konten yang ditulis secara offline, pengguna harus melakukan koneksi ke platform blogging online. Supaya platform blogging offline dan online dapat terkoneksi, digunakanlah XML-RPC. Jadi pada saat itu, WordPress menggunakan XML-RPC supaya pengguna dapat login dari perangkat lain ke WordPress.

WordPress sendiri mulai menggunakan xmlrpc.php di versinya yang ke 2.6. Pada versi ini, WordPress masih memberikan opsi kepada pengguna untuk mengaktifkan atau menonaktifkan XML-RPC. Semenjak WordPress merilis aplikasi WordPress untuk iPhone, fitur XML-RPC diaktifkan secara default. Sayangnya setelah itu user tidak diberi pilihan untuk mematikan pengaturan fitur ini.

Sampai dengan saat ini, xmlrpc.php masih sering dijumpai di website WordPress. Namun seiring berjalannya waktu, fungsionalitas xmlrpc.php semakin menurun dan hampir tidak mempunyai dampak besar. Bahkan di beberapa kondisi, xmlrpc.php menjadi celah keamanan yang dimanfaatkan hacker untuk meretas website.

Hingga akhirnya saat ini WordPress mengembangkan API terbaru. WordPress API ini digadang-gadang dapat menggantikan fungsi dari XML-RPC bahkan mempunyai fungsi yang lebih baik. Meskipun WordPress API sudah dapat digunakan, tetapi saat ini masih dalam tahap uji coba.

Baca juga: Apa itu Malware? (Penjelasan dan Cara Mengatasi)

Mengecek Status XML-RPC Di Situs WordPress Anda

Anda dapat melakukan pengecekan untuk memastikan apakah XML-RPC berjalan di WordPress atau tidak. Terdapat aplikasi kecil yang dibuat oleh Danilo Ercoli, dari tim Automattic, yaitu Validator XML-RPC.

Anda cukup memasukkan alamat website ke dalam kolom dan secara otomatis aplikasi akan melakukan pengecekan ke dalam website.

xmlrpc php

Ketika Anda klik tombol “Check” dan menghasilkan pesan kegagalan berarti XML-RPC di WordPress Anda tidak aktif. Namun ketika Anda mendapatkan pesan “Congratulation! Your site passed the first check.” berarti XML-RPC di website aktif.

Menonaktifkan XML-RPC: Apa Alasannya?

Faktor yang menjadi aset terbesar API adalah keamanan dan ada pembaruan berkala.

Keamanan XML-RPC perlu dipertanyakan karena XML-RPC mengautentifikasi dengan otentikasi dasar. Ini berarti pengiriman username dan password di setiap request tidak dilakukan secara aman.

Sedangkan WordPress API menggunakan Oauth yang tidak pernah mengirimkan username dan password, metode ini menggunakan token untuk proses autentifikasi sehingga membuat prosesnya menjadi lebih aman.

Terkait dengan pembaruan, XML-RPC dapat diperpanjang, tetapi proses dokumentasi tidak dilakukan dengan baik –tidak sebaik yang dilakukan WordPress API.

Proses pengiriman dan penerimaan data juga berbeda antara XML-RPC dan JSON. XML-RPC menggunakan XML yang sedikit rumit dan membutuhkan PHP Classes untuk membaca dengan baik. Sedangkan WordPress API menggunakan JSON untuk mengirimkan dan menerima data, yang mana tipe data ini menjadi favorit digunakan oleh developer. JSON cukup mudah digunakan baik di server maupun di sisi klien.

Selain itu, dalam beberapa tahun terakhir XML-RPC telah menjadi dan semakin besar target serangan brute force. Penyerang mencoba memasukkan kombinasi username dan password yang berbeda berkali-kali hanya dengan satu perintah saja. Cara ini dapat membobol keamanan yang seharusnya menjadi alat untuk mendeteksi dan memblokir serangan.

Cara Menonaktifkan Xmlrpc.php WordPress

Ada dua cara yang dapat Anda coba untuk menonaktifkan xmlrpc di WordPress, yaitu menggunakan plugin dan secara manual. Di bawah ini panduan untk menonaktifkan xmlrpc.php di WordPress.

1. Menggunakan Plugin “Disable XML-RPC”

Cara ini Anda harus menginstall plugin Disable XML-RPC terlebih dahulu.

  • Login ke dashboard WordPress, kemudian buka “Plugins » Add New”. Cari “Disable XML-RPC”, kemudian install.
xmlrpc php
  • Setelah terinstall, jangan lupa klik “Active Now” untuk mengaktifkannya. Plugin “Disable XML-RPC” akan secara otomatis memasukkan kode yang dibutuhkan untuk menonaktifkan XML-RPC.

XML-RPC terkadang digunakan oleh beberapa plugin. Akibatnya ketika XML-RPC dinonaktifkan, di beberapa plugin muncul permasalahan atau bahkan bisa membuat plugin tidak dapat berfungsi sebagaimana mestinya.

Ada opsi lain yang bisa Anda gunakan, yaitu mematikan sebagian elemen dari XML-RPC supaya plugin yang menggunakan XML-RPC masih tetap bisa berjalan. Anda bisa menggunakan plugin seperti “Stop XML-RPC Attack” atau “Control XML-RPC Publishing” untuk menonaktifkan elemen tertentu dari XML-RPC.

2. Mematikan Xmlrpc.php Secara Manual

Selain menggunakan plugin, Anda dapat menonaktifkan XML-RPC menggunakan file .htaccess. File .htaccess dapat dikonfigurasi untuk menghalangi permintaan yang melibatkan xmlrpc.php sebelum masuk ke WordPress.

  • Buka file .htaccess di folder root instalasI WordPress Anda. Gunakan File Manager atau FTP untuk mengaksesnya.
  • Kemudian masukkan baris kode di bawah ini ke dalam file .htaccess:

(Baris kode di bawah ini akan menghalangi seluruh permintaan yang melakukan akses ke file xmlrpc.php.)

# Block WordPress xmlrpc.php requests<Files xmlrpc.php>   order deny,allow   deny from all   allow from 123.123.123.123</Files>
  • Setelah selesai, jangan lupa klik “Save”.

Baca juga: Panduan Cara Membuat FTP Server di Linux VPS

Kesimpulan

File XML-RPC merupakan file yang cukup penting di WordPress pada jaman dulu. Sekarang, file ini menjadi kurang efektif bahkan cenderung memberikan dampak yang buruk bagi perkembangan website Anda. Sebagai gantinya, WordPress API hadir untuk menggantikan tugas dari XML-RPC di WordPress, tentunya dengan keamanan dan fleksibilitas yang lebih baik.

Semoga artikel ini membantu Anda memahami bagaimana XML-RPC dan mengapa sebaiknya Anda nonaktifkan. Jika Anda menyukai artikel dari kami, jangan lupa klik subscribe untuk mendapatkan informasi terbaru dari kami, atau tinggalkan komentar melalui kolom di bawah ini jika masih ada pertanyaan yang ingin disampaikan.

1
Yasin K Yasin K is a Technical Content Writer for Niagahoster Blog. Other words are unimportant things you will never need to know. Let the content speak for itself :)

Leave a Reply

Your email address will not be published. Required fields are marked *

fifteen + fifteen =