我们都知道xmlrpc.php文件位于网站根目录下,其实我对这个文件一直没有放在心上,认为我的网站放在了阿里云,又加了服务器安全防护,况且WP团队早就解决了漏洞,不过确实存在一种另类的wordpress暴力特别攻击,估计利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。
如果不使用离线发布文章,可以直接删掉xmlrpc.php这个文件,但是每次升级wordpress这个文件又会回来。彻底解决问题的办法,可以考虑通过APACHE的.htaccess屏蔽xmlrpc.php文件的访问。配置代码如下:
# protect xmlrpc
<Files "xmlrpc.php">
Order Allow,Deny
Deny from all
</Files>
没有人能再访问xmlrpc.php这个文件,也就没有人再能够用用这个文件来攻击你的网站了。
限制xmlrpc.php文件还有一些其它的方法,比如在functions.php里面增加一段代码来关闭也是可以的,方法很简单,请自行搜索。
以上代码亲测好用。关于Apache的配置文件,Order Allow和Deny的使用,请参考:Apache的Order Allow,Deny 详解
Can you be more specific about the content of your article? After reading it, I still have some doubts. Hope you can help me.