- A+
注意:本站启用了缓存系统,如果你的账户登陆不了,那是因为缓存导致,刷新再登陆一次即可。如还不行,只需打开任意一篇文章,然后刷新登陆即可。本站独家汉化、原创汉化,所有发布软件均为中文,非汉化或中文软件一律不收录不发布。声明:本站软件可以转载,但严禁二发,违者一经发现永久封号。
WordPress六种办法彻底禁止XML-RPC协议功能防止暴力破解网站瘫痪 由 心语家园(https://www.xinyucn.cc/)独家或原创发布,你可通过右上角“私信本站”联系我们。
欢迎汉化人加入本站,发布汉化作品。如果你有脱壳和去验证能力,网友捐赠将100%归你所有。如果无此能力,网友捐赠将留20%用于支付服务器及域名费用,其他归你所有。
我们都知道xmlrpc.php文件位于网站根目录下,WP团队早就解决了漏洞,不过确实存在一种另类的wordpress暴力攻击,估计利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。
如果我们要深入研究WordPress后会发现不仅仅是一个架设个人网站的CMS程序,同时有提供XML-RPC协议API接口远程控制WP内容。但是,我们很多人是用不上的,所以尽可能的禁止掉。如果不禁止还会被他人用来暴力破解导致服务器占用资源过大。
那么我们应该如何关闭这个功能或解决被他人利用xmlrpc.php文件攻击呢?根据网上搜索的结果,大致有六种办法来解决:
第一种是屏蔽 XML-RPC (pingback) 的功能
在functions.php中添加
add_filter('xmlrpc_enabled', '__return_false');
或者在"设置"-"讨论",然后在下图取消勾选"尝试通知文章中链接的博客、允许其他博客发送链接通知"。
第二种方法就是通过.htaccess屏蔽xmlrpc.php文件的访问
-
# protect xmlrpc
-
<Files xmlrpc.php>
-
Order Deny,Allow
-
Deny from all
-
</Files>
第三种同样的是修改.htaccess文件加跳转
如果有用户访问xmlrpc.php文件,然后让其跳转到其他不存在或者存在的其他页面,降低自身网站的负担。
-
# protect xmlrpc
-
<IfModule mod_alias.c>
-
Redirect 301 /xmlrpc.php http://example.com/custom-page.php
-
</IfModule>
第四种阻止pingback端口
在functions.php中添加
add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' ); function remove_xmlrpc_pingback_ping( $methods ) { unset( $methods['pingback.ping'] ); return $methods; }
第五种nginx服务器配置
location ~* /xmlrpc.php { deny all; }
第六种安装插件
安装Login Security Solution插件(这个没有测试,你可以试试)
小结
1、不要直接删除xmlrpc.php,否则它会让你的wordpress网站发生莫名的错误。
2、建议采用方法 2。
3、其实扫描也罢,http的DDOS攻击也罢,CC攻击也罢,总之大量消耗服务器资源我们的服务器是累死的。
5、如果你正在使用如JetPack之类的插件,删除掉这个文件可能会让你的网站功能异常。
6、建议把WP升级到最新版本,其实我的就是最新的WP4.5.3,还是要相信新版本漏洞少一点吧。
7、一般这个功能是用不到的,我们直接屏蔽掉,默认当前的WP版本是开启的。这样,我们就可以解决WordPress被利用xmlrpc.php暴力破解攻击问题。有些时候并不是针对我们的网站攻击,而是对方利用某个关键字扫到我们的网站造成的。
本站1元=100家园币,你可以通过签到获得家园币,用来免费捐赠。
最新默认解压密码:Hoejc!xinyucn.cc 其他密码请去公众号。
如果链接丢失或未加,私信本站获取,仅对本站VIP会员开放。
请注意:微信公众号谢绝私信留言,拒绝回复。本站已在多处醒目位置注明,但是仍有网友在微信私信留言,再次声明,微信公众号不引流,不回复。
- 官方微信公众号
- 扫一扫关注微信公众号,如果你觉得本站帮到了你,请通过下面的赏字按钮捐赠本站,谢谢!
- 本站官方头条号
- 扫一扫关注官方头条号,新老用户扫描下载抖音极速版,可领取最高269元现金,每天使用都可领钱。