念念不忘
必会回响

WordPress禁用xmlrpc

介绍

XML-RPC是WordPress的核心API之一,它允许用户使用第三方应用程序、工具和服务连接到他们的WordPress网站。WordPress网站上的XML-RPC默认是启用的,但也有用户会选择将其禁用,以防止潜在攻击。本文将介绍在WordPress网站禁用XML-RPC的几种常用方法。

危害

目前我遇到的主要还是暴力破解,其原理是绕过wp-login.php(所谓的登录验证码就失效了),利用收集到该站点的用户名信息,并发的进行穷举密码,从而达到暴力破解的目的。

下面我补充两张图作为参考:

在我安装了登录验证码、Limit Login Attempts插件的情况下每天都有几百次的暴力破解,很多小白安装完WordPress后根本没有意识到这个问题,并且他们都惯用admin,123456这种的用户密码,导致没过多久网站就被挂马的情况。

禁用xmlrpc

方法1 修改nginx/apache配置文件

在如果是lnmp,那就修改nginx的配置文件,在网站对应的配置文件中新增如下:

  location = /xmlrpc.php {
    deny all;
  }
Python

如果是lamp,那就在.htaccess配置文件中新增如下代码:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Python

此时,访问/xmlrpc.php就会返回403错误。

方法2 新增代码

在一个不常更新并且开启的插件中,或者在theme中用户自定的代码中新增如下:

//关闭XML-RPC的pingback端口
add_filter('xmlrpc_enabled', '__return_false');
PHP

方法3 安装插件

对于懒人或者动手能力差的小白来说,安装插件最省事,这里就推荐一个插件:Disable XML-RPC-API。安装完成后自动就禁用xmlrpc了。

不便之处

禁用xmlrpc.php虽然得到了更安全的保障,但如果你想用移动端的wordpress app,那就无法实现了。所以,有利有弊, 取决于你的使用习惯。

赞(2) 打赏
未经允许不得转载:堆上小栈 » WordPress禁用xmlrpc

评论 抢沙发

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册