WordPress安全防护之禁用xmlrpc接口

WordPress安全防护之禁用xmlrpc接口
最近查看360网站卫士安全日志的时候发现攻击的url是/xmlrpc.php,经过搜索了解到这个文件可以被别有用心者拿来做暴力破解。虽然我使用了Limit Login Attempts插件并且修改了后台登录默认地址,然而这种利用xmlrpc.php的攻击可以绕过这些限制,攻击的方式直接POST username和password字段数据到xmlrpc.php,而且XML-RPC接口并不是常用功能,所以可以禁用。XML-RPC 是 WordPress 用于第三方客户端(如 WordPress iPhone 和安卓客户端,Windows Live Writer 等)的 API 接口,还可以用于 pingbacks 和 trackbacks 端口,作为站点之间的通讯桥梁。

禁用XML-RPC接口:

//禁用XML-RPC接口
add_filter('xmlrpc_enabled', '__return_false');

以上代码丢到主题的functions.php文件即可。

如果你还是用使用第三方客户端来管理Wordpress文章,那么可以只关闭XML-RPC的pingback 端口

//禁用XML-RPC的pingback接口
add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
function remove_xmlrpc_pingback_ping( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
}

以上代码丢到主题的functions.php文件即可。

weinxin
我的微信公众号
我的微信公众号扫一扫
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:5   其中:访客  5   博主  0

    • avatar Han 1

      挺不错的啊

        • avatar 厘米 9

          @Han 这个接口不关有被暴力破解的危险!

            • avatar Han 1

              @厘米 一般小站不会被盯上吧 :twisted:

                • avatar 厘米 9

                  @Han 我是看到360网站卫士的日志里有人在试这个链接就索性关闭了,这个功能一般也用不到!

            • avatar 云上小悟 3

              之关闭pingback端口这一段没看懂?只是pingback关了,暴力破解密码的接口呢?