Publiczny endpoint wp-trackback.php

Co to oznacza

Jeśli plik wp-trackback.php jest publicznie dostępny na Twojej stronie, masz aktywny przestarzały endpoint. Trackbacki to mechanizm z wczesnych lat blogowania, który pozwalał stronom wzajemnie powiadamiać się o linkach. Obecnie jest przestarzały, niebezpieczny i praktycznie nieużywany w swoim pierwotnym zastosowaniu.

Jakie jest ryzyko

Spam trackback — najczęstsze zastosowanie trackbacków w 2024+ to spam. Boty wysyłają fałszywe trackbacki z linkami do stron ze złośliwym oprogramowaniem lub treściami SEO spam.
DDoS amplification — trackbacki mogą być wykorzystane do generowania ruchu z Twojego serwera na inne cele (podobnie jak XML-RPC pingback).
Obciążenie serwera — masowe żądania do wp-trackback.php generują niepotrzebne obciążenie bazy danych i procesora.
Brak wartości — trackbacki nie są już używane przez żadną znaczącą platformę. Nie wnoszą wartości SEO ani funkcjonalnej.

Jak to naprawić

Wyłącz trackbacki w WordPress — Ustawienia → Dyskusja → odznacz „Pozwól na powiadomienia o linkach z innych blogów".

Zablokuj dostęp na serwerze:

# .htaccess (Apache)
<Files wp-trackback.php>
    Order Deny,Allow
    Deny from all
</Files>

Nginx:

location = /wp-trackback.php {
    deny all;
    return 403;
}

Nie usuwaj pliku — jest częścią rdzenia WordPress i zostanie odtworzony przy aktualizacji.

Publiczny endpoint wp-trackback.php

Publiczny endpoint wp-trackback.php

Co to oznacza

Jakie jest ryzyko

Jak to naprawić

Nie chcesz sprawdzać tego ręcznie?