WordPress Sitelerde XML-RPC Nasıl Devre Dışı Bırakılır ve Neden?

XML-RPC Nedir?

XML-RPC, WordPress’e dışarıdan bağlanarak veri aktarımı yapılmasını sağlayan bir API protokolüdür. Özellikle mobil uygulamalar ve üçüncü parti hizmetler (örneğin Jetpack, bazı otomasyon araçları) bu API üzerinden sitenize bağlanır.

Ancak bu özellik uzun süredir modern WordPress REST API ile büyük ölçüde yerini kaybetmiş durumda.

Neden Devre Dışı Bırakılmalı?

XML-RPC genellikle artık kullanılmamasına rağmen açık bırakıldığında bazı güvenlik tehditlerine kapı aralayabilir:

Brute Force Saldırıları: xmlrpc.php dosyası üzerinden tek istekle yüzlerce şifre denemesi yapılabilir.
DDoS Saldırıları: Pingback özelliği kullanılarak siteniz başka hedeflere saldırmak için kullanılabilir.
Performans Sorunları: Yoğun saldırı altında sunucu kaynaklarınızı tüketebilir.

XML-RPC’yi Devre Dışı Bırakma Yöntemleri

1. .htaccess ile Devre Dışı Bırakma (Apache Sunucular için)

<Files xmlrpc.php>
    Order Allow,Deny
    Deny from all
</Files>

Bu kodu sitenizin ana dizininde bulunan .htaccess dosyasına ekleyin. Bu sayede dışarıdan xmlrpc.php dosyasına erişim tamamen engellenir.

2. Eklenti ile Devre Dışı Bırakma
Teknik bilgi gerekmeyen bir yol arıyorsanız şu eklentilerden birini kullanabilirsiniz:

Disable XML-RPC
Stop XML-RPC Attack
Perfmatters (performans odaklı gelişmiş seçenekler içerir)

3. functions.php ile Devre Dışı Bırakma

add_filter('xmlrpc_enabled', '__return_false');

Bu satırı aktif temanıza ait functions.php dosyasına ekleyerek XML-RPC özelliğini yazılımsal olarak kapatabilirsiniz.

Ancak bu yöntem bazı saldırı vektörlerini tamamen engellemez. En güvenli yöntem .htaccess ile fiziksel erişimi engellemektir.

XML-RPC’ye Gerçekten İhtiyacınız Var mı?
Kullandığınız sistemlerde Jetpack, bazı uzaktan bağlantı sistemleri veya IFTTT benzeri hizmetler yoksa XML-RPC’ye çoğu zaman ihtiyacınız yoktur. Bu yüzden kapatmanız hem güvenliğinizi artırır hem de sistem yükünü azaltır.

Sonuç
XML-RPC, artık çoğu site için gereksiz bir risk kapısı haline gelmiştir. Özellikle REST API’nin gelişmesiyle beraber işlevini büyük ölçüde kaybetmiştir. WordPress sitenizin saldırı yüzeyini azaltmak istiyorsanız bu özelliği devre dışı bırakmak akıllıca bir adımdır.

Bir yanıt yazın Yanıtı iptal et

Yorum yapabilmek için oturum açmalısınız.

28 Haziran 2025

WordPress Site Hızlandırma: 5 Pratik İpucu

Web sitenizin yavaş olması sadece ziyaretçileri kaçırmakla kalmaz, Google sıralamanızı da olumsuz etkiler. İşte WordPress ile oluşturduğunuz sitenizi hızlandırmak için uygulayabileceğiniz 5 etkili yöntem: Hafif ve […]

26 Haziran 2025

WordPress’te Spam Yorumlardan Kurtulmanın 5 Etkili Yolu

WordPress tabanlı sitelerde en yaygın sorunlardan biri, otomatik botların veya kötü niyetli kişilerin yaptığı spam yorumlardır. Sitenizin kalitesini düşürür, SEO’ya zarar verir ve okuyucuların güvenini zedeler. […]

25 Haziran 2025

2025 WordPress Trendleri

2025 WordPress Trendleri Yapay Zeka Destekli Siteler AI, içerik, görsel, tema ve kod üretimini otomatikleştiriyor. Örneğin Divi AI ve Elementor AI, içerik ve tasarımı hızla oluşturuyor; […]