Six ways to save xmlrpc.php from crippling WordPress

​xmlrpc.php文件位于网站根目录下,WordPress存在一种另类的wordpress暴力特别攻击,利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。 根据网上搜索的结果,大致有六种办法来解决:

第一种是屏蔽 XML-RPC (pingback) 的功能 在functions.php中添加

add_filter('xmlrpc_enabled', '__return_false');

第二种方法就是通过.htaccess屏蔽xmlrpc.php文件的访问

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

第三种同样的是修改.htaccess文件加跳转

如果有用户访问xmlrpc.php文件,然后让其跳转到其他不存在或者存在的其他页面,降低自身网站的负担。

# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php http://example.com/custom-page.php
</IfModule>

第四种阻止pingback端口

在functions.php中添加

add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
function remove_xmlrpc_pingback_ping( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
}

第五种nginx服务器配置

location ~* /xmlrpc.php {
    deny all;
}

第六种安装插件

安装Login Security Solution插件(这个没有测试,你可以试试)

小结

1、不要直接删除xmlrpc.php,否则它会让你的wordpress网站发生莫名的错误。
2、建议采用方法 2
3、其实扫描也罢,http的DDOS攻击也罢,CC攻击也罢,总之大量消耗服务器资源我们的服务器是累死的。
5、如果你正在使用如JetPack之类的插件,删除掉这个文件可能会让你的网站功能异常。
6、建议把WP升级到最新版本。
7、一般这个功能是用不到的,我们直接屏蔽掉,默认当前的WP版本是开启的。这样,我们就可以解决WordPress被利用xmlrpc.php暴力破解攻击问题。有些时候并不是针对我们的网站攻击,而是对方利用某个关键字扫到我们的网站造成的。

912sy.com download resources are from the network, only for learning and reference use, the copyright belongs to the original author, do not use for commercial purposes, please remove yourself within 24 hours after downloading.
If the content published on this site inadvertently violates your rights and interests, please contact us and the site will be deleted within one business day.If you encounter any problems please contact customer service QQ:2385367137
912sy " Six ways to save xmlrpc.php from crippling WordPress