Praktis, Tapi Berisiko. Kenali Apa Itu XML-RPC pada WordPress - Mitra Algotech pernah mendengar XML-RPC? XML-RPC merupakan jenis file instalasi dasar yang erat dengan jasa pembuatan website WordPress. File tersebut berperan sebagai fasilitator koneksi jarak jauh yang dijalankan antara aplikasi eksternal dan Wordpress. Walau menawarkan manfaat menarik yang berkaitan dengan pihak ketiga, namun terselip risiko yang harus diwaspadai, terutama terhadap kejahatan siber (cyber crime) serta imbasnya terhadap kinerja server.
Pada kali ini, Mitra Algotech akan memahami serba-serbi XMLRPC di bawah ini !
Mengenal XML-RPC
Sebenarnya apa itu XML-RPC? Yaitu jenis protokol komunikasi secara jarak jauh pada website WordPress yang memungkinkan adanya interaksi dengan aplikasi eksternal. Aplikasi eksternal ini termasuk aplikasi mobile, API, juga tools pihak ketiga. Sementara itu RPC adalah nama pendek dari Remote Procedure Call. Berbasis format XML (Extensible Markup Language), protokol tersebut berguna untuk mengemas serta mengirim data.
Melalui cara ini akan memungkinkan Mitra Algotech mengelola situs WordPress meski dari jarak jauh, lewat saluran terstandarisasi.
Adapun contoh penggunaannya antara lain ketika merilis postingan terbaru yang diunggah melalui aplikasi ponsel, atau mengatur ulang tampilan situs dengan tools di luar WordPress dashboard.
Apa Saja Manfaat XML-RPC ?
Protokol XML-RPC dapat memudahkan Mitra Algotech terhubung, sampai kolaborasi situs WordPress bersama pihak eksternal. Ini dia manfaat dari XML-RPC :
- Publikasi praktis – Hanya dengan XML-RPC Mitra Algotech mampu menulis, lakukan publikasi, serta atur jadwal unggahan melalui tools eksternal meski dari jarak jauh. XML-RPC praktis untuk pengelolaan konten tanpa harus login ke halaman admin.
- Aplikasi mobile terintegrasi – Protokol ini pun mengizinkan pengelolaan website menggunakan aplikasi mobile. Sehingga Mitra Algotech dapat mengedit unggahan, pantau komentar, hingga memantau statistik situs.
- Alat kolaborasi – Tak sampai di situ saja, XML-RPC yang telah didukung oleh banyak aplikasi pihak ketiga memungkinkan aktivitas integrasi situs dengan platform lain, optimalisasi kinerja, dan memberi user experience yang lebih baik.
Risiko Mengintai dari xmlrpc.php
Meski protokol ini menawarkan manfaat banyak, namun xmlrpc.php juga tersisipkan ancaman keamanan terhadap website WordPress, seperti berikut :
- Brute Force – Berusaha untuk mendapat akses ke website, serangan ini terus mencoba mengombinasikan kata sandi dan username. XMLRPC inilah dimanfaatkan sebagai pintu masuk, sebab memungkinkan adanya permintaan otentikasi tanpa halaman login.
- DDoS – Berikutnya yaitu serangan DDoS yang bakal membebani kinerja server, kemudian merusak situs melalui permintaan palsu. Akibatnya server menjadi overload, dan tidak beroperasi.
- Eksploitasi postingan – Buruknya konfigurasi xmlrpc.php ini membuka peluang penyerang untuk melakukan pengeditan atau menghapus unggahan dari jarak jauh. Buruknya lagi, tanpa memiliki akses ke dashboard.
Kebocoran informasi – ‘Banjir’ serangan juga dapat menyebabkan kebocoran informasi sensitif, seperti data pengguna bahkan informasi perbankan.
Celah tersebut dapat dimanfaatkan penyerang untuk mengakses ke informasi rahasia WordPress.
Bagaimana Cara Cek xmlrpc.php ?
Sering diabaikan padahal Mitra Algotech perlu mengecek status keaktifan xmlrpc.php pada WordPress mengingat ancaman penyerangan telah dijabarkan. Berikut langkah-langkah untuk mengecek :
- Kunjungi situs XML-RPC Validator.
- Masukkan alamat situs WordPress dalam kolom Address.
- Pencet tombol “Check” untuk pemeriksaan.
- Tunggu dan XML-RPC Validator akan tampilkan hasilnya.
Apabila Mitra Algotech ingin menonaktifkannya, ingatlah bahwa beberapa tema, aplikasi atau plugin kemungkinan mengandalkan XML-RPC untuk beroperasi. Sehingga mematikan XML-RPC bisa mempengaruhi fungsionalitasnya.
Kenapa xmlrpc.php Harus Dinonaktifkan ?
Berikut sederet keuntungan jika Mitra Algotech menonaktifkan xmlrpc.php :
- Meminimalkan serangan – Menonaktifkan protokol ini mampu mengurangi potensi serangan DDos dan Brute Force. Namun, pastikan juga dibarengi dengan penerapan cara melindungi website WordPress.
- Optimalkan kinerja situs – Seperti yang telah dijabarkan, XML-RPC dapat membebani kinerja server, terlebih jika terkena serangan DDoS sehingga lebih baik bila dinonaktifkan.
- Hemat hosting – Manfaat berikutnya adalah Mitra Algotech bisa menghemat sumber daya hosting. Penggunaan berlebihan akan menguras sumber daya server, yang mana dibutuhkan upgrade hosting.
- Menonaktifkan XML-RPC memang baik, namun tidak dianjurkan dilakukan secara manual. Mitra Algotech dapat mengikuti cara terbaiknya pada poin selanjutnya.
Cara Aman Nonaktifkan xmlrpc.php
Melalui plugin atau manual adalah dua cara menonaktifkan XML-RPC. Berikut cara-caranya :
- Nonaktifkan XML-RPC via Plugin
- Cara mudah menonaktifkan yang pertama adalah menggunakan plugin Disable XML-RPC. Masuk ke dashboard WordPress Anda.
- Klik “Plugins” - Tambah Baru (Add New) pada sidebar kiri.
- Cari Disable XML-RPC pada kotak pencarian.
- Pencet “Install Now” untuk memulai penginstalan plugin.
- Jika sudah, pencet “Activate” untuk Disable XML-RPC.
- Kemudian plugin akan otomatis menambah kode keamanan untuk menonaktifkan file xmlrpc.php.
Nonaktifkan XML-RPC Manual
Cara kedua untuk menonaktifkan xmlrpc.php yakni secara manual melalui pengeditan file .htaccess. .htaccess. merupakan file sederhana pengatur konfigurasi pada website serta server.
Bagi Mitra Algotech yang menggunakan jasa seo dan hosting kami berikut langkah-langkahnya :
- Masuk ke akun hosting,
- Kemudian pencet “File Manager”.
- Bukalah public_html.
- Klik kanan file .htaccess, kemudian “Edit”.
- Blokir permintaan xmlrpc.php dengan kode berikut ini :
# Block WordPress xmlrpc.php requests
- order deny,allow
deny from all allow from 123.123.123.123
Simpanlah perubahan yang telah dibuat.
Remote Connections untuk Alternatif XML-RPC
XML-RPC punya kemampuan pengelolaan jarak jauh, untuk akses lebih aman dengan fungsi sama ini contoh alternatifnya :
- REST API – Mitra Algotech dapat akses dan kelola WordPress lewat permintaan HTTP. Dengan REST API, pengguna tetap bisa mengelola unggahan, ambil data statistik, atau bahkan membuat unggahan baru yang lebih aman.
- VPN (Virtual Private Network) – Opsi aman berikutnya adalah melalui VPN yang merupakan layanan pengaman koneksi dari serangan yang berisiko terhadap informasi sensitif.
- SSH (Secure Shell) – Secure Shell yaitu metode akses interaksi langsung dengan server lewat CLI (Command Line Interface). Melalui SSH, kelola kontrol website jauh lebih besar.
- Scheduled Publishing – Pengguna WordPress juga dapat memanfaatkan fitur publikasi konten berjadwal, yang mana anda dapat mengatur sendiri kapan postingan ingin diunggah tanpa bantuan Remote Connections.
Penutup
Melalui penjabaran pada artikel kali ini, mungkin Mitra Algotech sudah tahu apa saja pengertian, manfaat yang diberikan oleh XML-RPC terhadap website WordPress. Memang file ini berguna bagi yang senang bekerja secara praktis, terutama dari jarak jauh namun jangan sampai abai akan ancaman serangan yang terdapat di dalamnya pula. WordPress dapat tetap terlindungi dan terjaga dari berbagai serangan DDos atau Brute Force asalkan mengelola secara bijak keaktifan file tersebut, dibarengi peningkatan kinerja server. Menonaktifkannya memang dapat berpengaruh terhadap beberapa elemen, akan tetapi demi fungsionalitas tak ada salahnya Mitra Algotech mempertimbangkan hal tersebut. Pilihan ada di tangan Mitra Algotech untuk tetap memiliki website yang responsif, aman, bebas serangan baik untuk diri sendiri dan juga pengunjung. Apakah Mitra Algotech akan menonaktifkannya atau tidak ? Untuk keamanan website, jangan lupa serahkan juga pada jasa hosting murah terbaik, ya !