最新公告
  • 欢迎您光临苏果儿博客资源站,本站QQ/微博注册登陆即送SVIP果帝会员 立即加入我们
  • WordPress禁用xmlrpc.php的六种方法小白做站防止被套路|苏果儿博客

    最近发现服务器安全软件一直在拦截一个IP段频繁访问xmlrpc.php的记录,查了一下,估计是利用xmlrpc.php直接POST数据,来绕过wordpress后台的登录错误限制进行暴力破解,时间久了,这些攻击会造成占用资源过高,导致服务器卡顿宕机。

    XML-RPC 是 WordPress 用于第三方客户端(如 WordPress iPhone 和安卓客户端,Windows Live Writer 等)的 API 接口,还可以用于 pingbacks 和 trackbacks 端口,作为站点之间的通讯桥梁。

    XML-RPC的全称是XML Remote Procedure Call,即XML远程方法调用。它是WordPress离线发布协议,如果你习惯使用Windows Live Writer来撰写和发表文章,就必须启用该功能,否则建议您关闭,以免存在安全隐患,让垃圾留言和 Trackback Spam 等有可乘之机。

    攻击方式

    这种利用xmlrpc.php的攻击可以绕过限制。攻击的方式直接POST以下数据到xmlrpc.php
    WordPress禁用xmlrpc.php的六种方法小白做站防止被套路|苏果儿博客插图

    关于getUsersBlogs接口的更多信息可以参考官方的指南。 账户/密码错误返回为403.

    解决方法

    根据网上搜索的结果,大致有六种办法来解决:

    第一种是屏蔽 XML-RPC (pingback) 的功能

    在当前主题functions文件中添加以下代码:

    add_filter('xmlrpc_enabled', '__return_false');
    

    第二种是通过.htaccess屏蔽xmlrpc.php文件的访问

    WordPress禁用xmlrpc.php的六种方法小白做站防止被套路|苏果儿博客插图2

    第三种是通过.htaccess文件实现301重定向

    如果有用户访问xmlrpc.php文件,然后让其跳转到其他不存在或者存在的其他页面,降低自身网站的负担。

    # protect xmlrpc
    
    Redirect 301 /xmlrpc.php http://example.com/custom-page.php

    第四种阻止pingback端口

    如果仅仅想关闭XML-RPC的pingback端口,而不影响第三方离线发表功能,在当前主题functions文件中添加以下代码:

    /**
    * WordPress 关闭 XML-RPC 的 pingback 端口
    */
    add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
    function remove_xmlrpc_pingback_ping( $methods ) {
    unset( $methods['pingback.ping'] );
    return $methods;
    }

    第五种nginx服务器配置

    location ~* /xmlrpc.php {
    deny all;
    }

    第六种安装插件

    安装Login Security Solution插件(这个没有测试,你可以试试)

    小结
    1、不要直接删除xmlrpc.php,否则它会让你的wordpress网站发生莫名的错误。
    2、建议采用方法 2
    3、其实扫描也罢,http的DDOS攻击也罢,CC攻击也罢,总之大量消耗服务器资源我们的服务器是累死的。
    5、如果你正在使用如JetPack之类的插件,删除掉这个文件可能会让你的网站功能异常。
    6、建议把WP升级到最新版本,还是要相信新版本漏洞少一点吧。
    7、一般这个功能是用不到的,我们直接屏蔽掉,默认当前的WP版本是开启的。这样,我们就可以解决WordPress被利用xmlrpc.php暴力破解攻击问题。有些时候并不是针对我们的网站攻击,而是对方利用某个关键字扫到我们的网站造成的。
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长![email protected]
    2. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!
    3. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 本站不保证所提供下载的资源的准确性、安全性和完整性,源码仅供下载学习之用!
    8. 如用于商业或者违法用途,与本站无关,一切后果请用户自负!

    苏果儿博客 » WordPress禁用xmlrpc.php的六种方法小白做站防止被套路|苏果儿博客

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    苏果儿资源博客
    一个高级程序员模板开发平台

    发表评论

    升级SVIP果帝尊享更多特权立即升级