您的当前位置:首页 > 知识博客 > wordpress建站

WordPress 的 xmlrpc.php 经常被扫描,怎么办?

时间:2024-03-31

WordPress 中的 XML-RPC 功能默认启用,允许多种功能,例如发布帖子、管理评论和远程更新类别。

然而,这个文件解决方案成为了一个漏洞,而不是一个完美的解决方案。一些 WordPress 用户选择完全禁用 XML-RPC 协议。

在本文中,我们将探讨 xmlrpc.php 的用途、其优点和缺点,以及如何在 WordPress 网站上管理它。

什么是 Xmlrpc.php?

XML-RPC 是一种允许软件应用程序通过互联网相互通信的协议。在 WordPress 中,XML-RPC 功能是通过名为 xmlrpc.php 的文件实现的。

该文件是一个端点,允许外部应用程序与 WordPress 交互并执行各种任务,例如创建和编辑帖子。

XML-RPC 是一项强大的功能,使开发人员能够构建与 WordPress 交互的外部应用程序。例如,移动应用程序可以使用 XML-RPC 与 WordPress 网站进行通信,从而允许用户通过手机管理其内容。

为什么需要禁用 Xmlrpc.php?

由于 XML-RPC 是一种远程访问协议,因此它也可能存在安全风险。恶意用户可以使用它来执行暴力攻击、利用漏洞以及未经授权访问 WordPress 网站。这就是为什么一些 WordPress 用户更喜欢禁用 XML-RPC 或限制对特定 IP 地址的访问。

在 WordPress 网站上禁用 XML-RPC 文件的主要原因是该文件引入了不同的漏洞攻击。现在,您可以使用强密码和不同的安全插件来保护您的 WordPress 网站。但最好的网站保护模式就是在您的 WordPress 网站上禁用此功能。

您应该在 WordPress 网站上禁用 xmlrpc.php,原因有多种,包括:

1. 暴力攻击

每次,xmlrpc.php 文件都会创建一个请求来验证用户名和密码,但其他 API 不会。其他 API 发送用于身份验证的令牌,而不是用户名和密码。

由于xmlrpc.php每次都会发送信息验证请求,黑客可以利用这些信息访问您的网站。因为暴力攻击有助于插入、删除和修改网站代码或损坏您的网站数据库。

如果黑客发送足够多的请求来获取不同的用户名和密码对,他们就可以轻松找到正确的用户名和密码对并访问您的 WordPress 网站。

这就是为什么如果您在网站上使用最新或最新版本的 WordPress 并使用不同的身份验证 API 与外部系统通信,则必须在网站上禁用此选项。

2.DDoS 攻击(Pinbacks)

如果您的网站启用了 xmlrpc.php,则 DDoS(分布式拒绝服务)是第二次攻击,您的网站将被关闭/离线。因为 Pingback 和 trackback 是 xmlrpc.php 的功能。

如果您的网站启用了 xmlrpc.php,黑客可以快速向您的 WordPress 网站发送许多 pingback。这种攻击可能会使您的服务器超载,并使您的网站无法运行或关闭。

攻击者首先识别出启用了 pingback 功能的易受攻击的 WordPress 站点。然后,他们开始使用僵尸网络或其他方式向目标网站发送许多 pingback 请求(通常使用欺骗性的 IP 地址)。这使得阻止请求变得困难,从而导致大量的流量泛滥。它会压垮目标网站的服务器,最终可能导致服务器崩溃。

如何在 WordPress 中禁用 xmlrpc.php

现在您知道为什么需要禁用 xmlrpc.php,让我们深入了解执行此操作的不同方法:

方法 1. 使用 WordPress 插件禁用 xmlrpc.php

WordPress 插件是禁用 WordPress 网站中的 xmlrcp.php 的最简单方法之一。

如:WPJAM插件,勾选禁用XMLRPC功能;

方法 2:手动禁用 xmlrcp.php

如果您不想使用任何插件来禁用 xmlrcp.php,那么您可以通过网站的 .htaccess 文件手动禁用 XML-RPC。

注意:如果您没有 .htaccess 文件,则需要创建它。

如果您的网络空间中已存在该文件,您可以编辑该文件。

首先,登录到控制面板并打开文件管理器。接下来,单击“创建”,选择“文件”,然后选择“其他”选项。

将文件命名为 .htaccess 并按键盘上的 Enter 键。现在,只需选择.htaccess文件并单击“编辑”。

在下一个屏幕上,您必须将以下代码粘贴到 .htaccess 文件中:

  1. # Block WordPress xmlrpc.php requests

  2. <Files xmlrpc.php>

  3. order deny,allow

  4. deny from all

  5. allow from www.digseo.com

  6. </Files>

完成后,它将禁用您的 WordPress 网站上的 XML-RPC。

方法 3:从主题中禁用 xmlrcp.php

如果您想在整个站点上禁用 XMLRPC,请在主题的functions.php 文件中使用此过滤器。

注意:建议使用子主题而不是父主题来编辑functions.php文件。当您更新主题时,有可能会丢失修改后的代码。它可能会对您的网站造成一些不利影响。

为此,请转到 WordPress 管理仪表板的左侧边栏,导航至“外观”,然后单击“主题文件编辑器”选项。

在下一个屏幕上,单击右侧的主题功能。向下滚动到functions.php 文件的底部并添加过滤器。

这是过滤器:

  1. add_filter('xmlrpc_enabled','__return_false');

添加后,单击“更新文件”按钮保存更改。

此过滤器将禁用您的 WordPress 网站上的 XML-RPC。

最后

XML-RPC 是为了 WordPress 网站与外部系统和应用程序的通信而创建的。但由于其功能意味着身份验证过程,出现了不同的安全问题,这意味着黑客可以轻松攻击您的 WordPress 网站。

但现在,当前的 API 可帮助您与外部系统和应用程序进行通信,这些系统和应用程序使用令牌而不是用户名和密码进行身份验证。现在您可以禁用 WordPress 文件中的 xmlrcp.php 以进行安全通信;您只需按照上述方法禁用 XML-RCP 即可。通过禁用它,您将提高网站的安全级别。


欢迎咨询/Welcome to inquire
tel/vx:18842938855
qq:1685522781
email:1685522781@qq.com

Copyright © 2019-2024 wangzhan.shop


Whatsapp