xmlrpc.php ووردبريس: ما هو ولماذا يُفضَّل تعطيله
ديسمبر 12, 2025
/
Hana E.
/
3 دق اقرأ
لطالما تضمن ووردبريس ميزات تسمح لك بالتفاعل مع موقعك عن بعد. ولفترة طويلة، كان الحل يتمثل في ملف يُسمى xmlrpc.php. لكن في السنوات الأخيرة، تحوّل هذا الملف إلى مشكلة أكثر من كونه حلاً.
سنستعرض ماهية ملف xmlrpc.php ولماذا تم إنشاؤه. كما سنتناول أكثر مشاكل الأمان شيوعًا التي يسببها وكيفية إصلاحها على موقع ووردبريس الخاص بك.
ما هو xmlrpc.php ووردبريس؟
تُعد XML-RPC ميزة في ووردبريس تُمكّن من نقل البيانات، حيث يعمل HTTP كآلية للنقل وXML كآلية ترميز. وبما أنّ ووردبريس ليس نظامًا مغلقًا بذاته، ويحتاج أحيانًا للتواصل مع أنظمة أخرى، فقد استُخدم هذا الملف للقيام بتلك المهمة.
كانت الميزات الأساسية التي أتاحها xmlrpc.php هي الاتصال بموقعك عبر الهاتف الذكي، وتنفيذ التتبعات (trackbacks) والتنبيهات التلقائية (pingbacks) من مواقع أخرى، وبعض الوظائف المرتبطة بإضافة Jetpack.
لنفترض أنك تنوي النشر على موقع ووردبريس الخاص بك من جهازك المحمول. يمكنك استخدام ميزة الوصول عن بُعد المفعّلة في ملف xmlrpc.php للقيام بذلك.
لماذا تم إنشاء xmlrpc.php وكيف تم استخدامه
يعود استخدام XML-RPC إلى الأيام الأولى لووردبريس، حتى قبل أن يُطلق عليه اسم ووردبريس.
كانت الكتابة والنشر على الإنترنت أكثر صعوبةً واستهلاكًا للوقت في بدايات الإنترنت، حين كانت الاتصالات بطيئةً للغاية. في ذلك الوقت، كان الحل هو إنشاء برنامج تدوين دون اتصال بالإنترنت، حيث يمكنك كتابة محتواك قبل الاتصال بمدونتك لنشره. وكان يتم إنشاء هذا الاتصال باستخدام XML-RPC.
كان XML-RPC مُعطَّلاً افتراضيًا في البداية حتى أُضيفت ميزة في لوحة التحكم إلى الإصدار 2.6 من ووردبريس لتمكينه أو تعطيله. من ثم، أصبح XML-RPC مُفعَّلًا افتراضيًا مع الإصدار 3.5 من ووردبريس ومع إطلاق تطبيق ووردبريس للجوال. كما أُزيل خيار تمكين أو تعطيل XML-RPC من لوحة التحكم.
XML-RPC في الوقت الحاضر
في عام 2015، قدّمت نواة ووردبريس واجهة برمجة تطبيقات REST جديدة للتفاعل مع تطبيقات الجوال والمنصات الأخرى. وبدأ العديد من المطورين باستخدام واجهة برمجة التطبيقات REST الجديدة، التي حلّت محل XML-RPC.
ولكن، لا يزال XML-RPC مفعلًا في ووردبريس، ولا يزال ملف xmlrpc.php موجودًا في دليل البرنامج الأساسي.
لماذا يجب عليك تعطيل xmlrpc.php
أكبر مشكلة مع XML-RPC هي المخاوف الأمنية التي تثيرها. لا تكمن المشكلة في XML-RPC بحد ذاته، بل في كيفية استغلال الملف لشن هجمات سيبرانية على موقعك.
الطريقة الأولى هي استخدام هجمات القوة الغاشمة لاختراق موقعك. سيحاول المهاجم الوصول إلى موقعك باستخدام xmlrpc.php باستخدام مجموعات مختلفة من أسماء المستخدمين وكلمات المرور. يمكنه استخدام أمر واحد لاختبار مئات كلمات المرور المختلفة، مما يسمح له بتجاوز أدوات الأمان التي عادةً ما تكتشف هجمات القوة الغاشمة وتمنعها.
الطريقة الثانية هي تعطيل المواقع عبر هجوم DDoS. يستخدم المخترقون ميزة pingback في ووردبريس لإرسال التنبيهات التلقائية (بينغباكس) إلى آلاف المواقع فورًا. تمنح هذه الميزة في xmlrpc.php المخترقين مصدرًا شبه لا نهائي من عناوين IP لتوزيع هجوم DDoS.
نصيحة احترافية
تُشكّل التهديدات المختلفة خطرًا على أمان موقعك الإلكتروني. يُمكن حماية موقعك من الثغرات الأمنية المحتملة باختيار مُزوّد استضافة ووردبريس موثوق. اضمن حماية موقعك الإلكتروني باختيار مُضيف ووردبريس آمن يُطبّق إجراءات أمان مُتقدّمة.
لذا، بالإضافة إلى حماية نفسك بكلمات مرور قوية وإضافات أمان ووردبريس، من الأفضل تعطيل xmlrpc.php.
للتحقق مما إذا كان XML-RPC قيد العمل على موقعك، استخدم أداة تُسمّى XML-RPC Validator. إذا ظهرت رسالة خطأ، فهذا يعني أن XML-RPC غير مفعّل. أما إذا ظهرت رسالة نجاح، فيُنصح بشدة بتعطيل ملف xmlrpc.php.
كيفية تعطيل xmlrpc.php في ووردبريس
لنستعرض الطريقتين لتعطيل xmlrpc.php في ووردبريس.
1. تعطيل xmlrpc.php باستخدام إضافة
يكون تعطيل XML-RPC على موقع ووردبريس الخاص بك أمرًا بسيطًا عند استخدام إضافة.
ما عليك سوى الانتقال إلى قسم Plugins (الإضافات) ← Add New (إضافة جديد) من لوحة تحكم ووردبريس. ابحث عن إضافة Disable XML-RPC-API (تعطيلXML-RPC-API) وقم بتثبيتها. بمجرد تفعيل الإضافة، ستطبق تلقائيًا الكود اللازم لتعطيل XML-RPC.
ضع في اعتبارك أن بعض الإضافات الموجودة قد تستخدم أجزاء من XML-RPC، لذا فإن تعطيله بالكامل قد يسبب تعارضًا مع الإضافات أو توقف عناصر معينة موقعك عن العمل.
2. تعطيل xmlrpc.php يدويًا
إذا كنت تفضل حذف xmlrpc.php يدويًا، فاتبع هذه الطريقة التي ستوقف جميع الطلبات الواردة إلى xmlrpc.php قبل تمريرها إلى ووردبريس.
يمكنك الوصول إلى ملف .htaccess من خلال مدير الملفات في لوحة تحكم الاستضافة أو باستخدام عميل FTP. قد تحتاج إلى تفعيل خيار إظهار الملفات المخفية لإظهار هذا الملف. داخل ملف .htaccess، الصق الكود التالي:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>
هام! قم بتغيير xxx.xxx.xxx.xxx إلى عنوان IP الذي ترغب في السماح له بالوصول إلى xmlrpc.php أو احذف هذا السطر تمامًا.
الخلاصة
كان XML-RPC أداة فعّالة للنشر عن بُعد لموقع ووردبريس الخاص بك. ومع ذلك، كان يحتوي على بعض الثغرات الأمنية التي أثرت سلبًا على بعض مالكي مواقع ووردبريس.
لضمان بقاء موقعك آمنًا، يوصى بشدة بتعطيل xmlrpc.php بالكامل باستخدام إضافة أو عن طريق تعديل ملف .htaccess يدويًا.
تخضع جميع محتويات البرامج التعليمية الموجودة على هذا الموقع للمعايير والقيم التحريرية الدقيقة الخاصة بـHostinger.
هناء هي باحثة دكتوراه في اللسانيات الإنجليزية وتمتلك إتقانًا فطرياً للغة العربية، مما يتيح لها الجمع بسلاسة بين الدقة الأكاديمية وأناقة اللغة الأم. تُعرف بمهارتها في رصد أدق تفاصيل القواعد اللغوية، مما يجعلها تتفوّق كمترجمة ومدققة لغوية. انضموا إليها على LinkedIn.
