XML-RPC là một giao thức cũ cho phép kết nối từ xa (ví dụ: đăng bài từ ứng dụng điện thoại). Tuy nhiên, hiện nay nó là “cửa sau” số 1 mà hacker sử dụng để thực hiện tấn công dò mật khẩu (Brute Force) và làm quá tải máy chủ (DDoS).
Nếu bạn không sử dụng ứng dụng WordPress trên điện thoại di động hoặc plugin Jetpack, bạn nên tắt nó ngay lập tức.
Dưới đây là 2 cách để tắt nó trên Hostinger:
Cách 1: Sử dụng .htaccess (Mạnh nhất & Khuyên dùng)
Cách này chặn yêu cầu ngay tại cửa máy chủ, giúp tiết kiệm tài nguyên cho web của bạn.
- Truy cập Hostinger hPanel → File Manager.
- Vào thư mục
public_html. - Mở file
.htaccessđể chỉnh sửa. - Dán đoạn mã sau vào cuối file:
Apache
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
- Tác dụng: Bất kỳ ai cố truy cập vào file
xmlrpc.phpđều sẽ bị chặn (lỗi 403 Forbidden).
Cách 2: Sử dụng Plugin (Dễ nhất)
Nếu bạn ngại sửa code, hãy dùng plugin chuyên dụng. Nó rất nhẹ và chỉ làm đúng một nhiệm vụ.
- Vào trang quản trị WordPress → Plugin → Cài mới.
- Tìm kiếm: Disable XML-RPC.
- Cài đặt và Kích hoạt plugin có tên “Disable XML-RPC” (tác giả Philip Erb hoặc tương tự).
- Vậy là xong! Plugin sẽ tự động tắt tính năng này.
Lưu ý: Nếu bạn đang dùng Wordfence, bạn có thể vào Login Security → Settings → Tích vào ô Disable XML-RPC authentication.
⚠️ Lưu ý quan trọng
Đừng tắt XML-RPC nếu:
- Bạn dùng ứng dụng WordPress trên điện thoại (iOS/Android) để viết bài.
- Bạn đang sử dụng plugin Jetpack.
- Bạn sử dụng các công cụ quản lý nhiều website tập trung (như ManageWP).
Nếu bạn thuộc trường hợp trên, đừng tắt hoàn toàn. Thay vào đó, hãy chỉ chặn các quốc gia lạ (bằng cách GeoIP tôi đã hướng dẫn trước đó).
Tổng kết quy trình bảo mật
Đến lúc này, website của bạn sẽ rất an toàn với các lớp bảo vệ sau:
- ✅ Chặn IP lạ truy cập admin (GeoIP).
- ✅ Chặn quốc gia không mong muốn.
- ✅ Giấu đường dẫn đăng nhập (
/wp-adminthành tên khác). - ✅ Tắt cửa sau XML-RPC.
Bước tiếp theo: Lớp bảo vệ cuối cùng và quan trọng nhất là Bảo mật 2 lớp (2FA). Nếu hacker biết được mật khẩu và tìm ra đường dẫn đăng nhập, họ vẫn không thể vào được nếu không có mã trên điện thoại của bạn.