Vraag:
Van de week las ik dit blog: Jetpack Revamps Mobile App, WordPress.com Users Must Migrate to Keep Using Stats, Reader, and Notification Features op WP Tavern. Hierin werd besproken dat Jetpack Stats (statistiekenoverzicht) van de WordPress app verplaatst worden naar de Jetpack app.
Een paar maanden geleden had ik hier ook al iets over gelezen maar toen was dit nog voor betaalde Jetpack gebruikers. Nu geldt het ook voor gratis Jetpack gebruikers.
Op dit moment kan je de Jetpack statistieken in beiden apps raadplegen. De planning is dat de deze functionaliteit eind 2023 verwijderd wordt uit de WordPress app.
Ik gebruik de WordPress app al jaren om:
- Statistieken te raadplegen
- Concepten aan te maken als ik een idee heb voor een nieuw blog
- Vragen van mijn bezoekers te beantwoorden
Vandaag heb ik alvast de Jetpack app geïnstalleerd en wilde ik verbinding maken met mijn website. Alleen kreeg ik de error 403 access denied xml-rpc.php.
Antwoord:
De xml-rpc functionaliteit in WordPress staat erom bekend misbruikt en aangevallen te worden door hackers en bots. Om mijn website zo goed mogelijk te beveiligen heb ik de onderstaande regels code in mijn .htaccess bestand geplaatst.
# Block access to xml-rpc. # Source: https://jetpack.com/support/how-to-add-jetpack-ips-allowlist/ <Files xmlrpc.php> order deny,allow deny from all allow from 127.0.0.1 allow from 122.248.245.244/32 allow from 54.217.201.243/32 allow from 54.232.116.4/32 allow from 192.0.80.0/20 allow from 192.0.96.0/20 allow from 192.0.112.0/20 allow from 195.234.108.0/22 </Files>
Dus alle verzoeken worden al op Apache niveau geblokkeerd en dat werkt goed. Alleen de verzoeken die afkomstig zijn van de IP-adressen achter “allow from” mogen de xml-rpc functionaliteit op mijn website gebruiken. Dit zijn de IP-adressen van Jetpack servers.
Maar blijkbaar wil de Jetpack app op mijn smartphone verbinding maken met de xml-rpc service via het IP-adres van mijn internetverbinding. Het gaat dus om een directe verbinding naar mijn site die niet via de Jetpack servers verloopt. Dat IP-adres staat niet in de lijst met “allow from” en wordt daarom geblokkeerd.
Er zijn ook genoeg plugins, zoals Wordfence, die functionaliteiten aanbieden om xml-rpc te blokkeren.
Mogelijke oplossingen waren:
- Tijdelijk de beveiliging uit te schakelen
- Tijdelijk het IP-adres van de huidige internet verbinding toe te voegen
Ik heb tijdelijk het IP-adres van mijn internetverbinding toegevoegd. Hierna kon ik zonder problemen verbinding maken vanuit de Jetpack app met mijn website.
Ben je eenmaal ingelogd en zie je statistieken? Dan kan je de beveiliging weer terugzetten zoals die stond omdat de Jetpack app de data binnenhaalt via de Jetpack servers.
Telkens terug naar het beginscherm:
Het viel me op dat als je tijdens het proces om verbinding te maken uit de Jetpack app gaat en weer terug, je dan weer het beginscherm te zien krijgt.
Een van de stappen om verbinding te maken is dat je inlogt met een gebruiker die toegang heeft tot jouw WordPress website. Even vanuit Jetpack app naar een wachtwoord manager of lijstje met wachtwoorden zorgt ervoor dat je weer overnieuw kan beginnen. Kopieer daarom van te voren alvast het wachtwoord.