WordPress网站被人利用xmlrpc.php文件攻击怎么解决

用Wordpres程序的朋友应该都知道xmlrpc.php文件,它是我们客户端远程管理编辑网站、小程序等需使用的接口文件,但很多不良人士会利用xmlrpc.php文件来绕过Wordpress后台的登录错误限制进行爆破,消耗主机资源,大家可以用以下方法解决:

方法一:屏蔽 XML-RPC (pingback)的功能

在functions.php中添加。PS:很多主题已集成此代码。

add_filter('xmlrpc_enabled', '__return_false');

方法二:删除或清空xmlrpc.php文件内容

推荐清空文件内容,不建议删除xmlrpc.php文件,因为可能造成莫名其妙的错误。

方法三:利用配置文件直接拒绝访问或跳转

1、Nginx

location ~* /xmlrpc.php {
  deny all;
}

或者跳转

location ~* /xmlrpc.php {
  proxy_pass https://www.baidu.com;
}

2、apache

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

或者跳转

# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php https://www.baidu.com
</IfModule>

方法四:利用宝塔防火墙解决此问题

但是像我这种需要这个接口用手机客户端的人来说,实在不妥,可以利用宝塔防火墙解决此问题。

首先,将/xmlrpc.php加入URL黑名单拒绝访问。PS:还有/wp-json也可以加进去。

WordPress网站被人利用xmlrpc.php文件攻击怎么解决 WP教程 第1张 利用宝塔规则优先级:UA白名单> UA黑名单> URL关键词拦截> IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止境外IP访问 >User-Agent > URI过滤 > URL参数 > Cookie > POST

其次,将自己设备UA加入白名单即可,自己设备具体UA可以在网站访问日志里查看。

WordPress网站被人利用xmlrpc.php文件攻击怎么解决 WP教程 第2张 这样一来,除了特定UA,其他访问都是403。

WP教程网站教程

WordPress实现自动记录网站404死链并提交百度站长平台

2022-3-14 11:30:35

WP教程网站教程

解决WordPress报错提示”发布失败。错误信息:此响应不是合法的JSON响应。”

2022-3-14 11:32:05

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧