WordPress教程

WordPress安全防护如何禁用xmlrpc接口

阿里云

启用宝塔防火墙或者查看 360 网站卫士安全日志的时候发现攻击的 url 是/xmlrpc.php,经过搜索了解到这个文件可以被别有用心者拿来做暴力破解。虽然我使用了 Limit Login Attempts 插件并且修改了后台登录默认地址,然而这种利用 xmlrpc.php 的攻击可以绕过这些限制,攻击的方式直接 POST username 和 password 字段数据到 xmlrpc.php,而且 XML-RPC 接口并不是常用功能,所以可以禁用。XML-RPC 是 WordPress 用于第三方客户端(如 WordPress iPhone 和安卓客户端,Windows Live Writer 等)的 API 接口,还可以用于 pingbacks 和 trackbacks 端口,作为站点之间的通讯桥梁。

禁用 XML-RPC 接口:

  1. add_filter('xmlrpc_enabled', '__return_false');
也想出现在这里?联系我们
创客主机

以上代码丢到主题的 functions.php 文件即可。

如果你还是用使用第三方客户端来管理 WordPress 文章,那么可以只关闭 XML-RPC 的 pingback 端口

  1. //禁用XML-RPC的pingback接口
  2. add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
  3. function remove_xmlrpc_pingback_ping( $methods ) {
  4. unset( $methods['pingback.ping'] );
  5. return $methods;
  6. }

以上代码丢到主题的 functions.php 文件即可。

WordPress 安全防护如何禁用 xmlrpc 接口

已有 291 人购买
查看演示升级 VIP立刻购买

收藏
(0)

发表回复

热销模板

Ashade - 作品展示摄影相册WordPress汉化主题
LensNews

本站承接 WordPress / PbootCMS / DedeCMS 等
系统建站、仿站、开发、定制等业务!