皇冠官网

WordPress 安全教程:WordPress 禁用 XML-RPC 功能方法 (代碼/插件)

搬瓦工

WordPress 安全是一個不容忽視的問題,今天收到郵件,提示 VPS 的 CPU 占用過高,照理說不應該,畢竟網站也沒多少訪問量,于是排查了一下訪問記錄,發現是有人在嘗試用 XML-RPC 來破解密碼。這個確實是 WordPress 長久以來的一個算是 bug 的存在,所以我們只需把 WordPress 的 XML-RPC 功能給禁用掉就行了。禁用 WordPress XML-RPC 功能也很簡單,我們可以通過代碼或者是插件的方法來禁用,都可以。

XML-RPC 這個功能是讓我們可以使用客戶端來登陸和管理博客,但是由于客戶端的限制,我們其實 99.99% 的情況下是用不到這個功能的,反而留下一個安全隱患。

WordPress 安全教程系列文章:

一、代碼方式禁用 WordPress 的 XML-RPC 功能

以下方法二選一即可。

1、修改 WordPress 主題文件

add_filter('xmlrpc_enabled', '__return_false');

2、修改 .htaccess 文件

# Block WordPress xmlrpc.php requests 
<Files xmlrpc.php> 
order deny,allow 
deny from all 
allow from 123.123.123.123 
</Files>

優點是代碼方法簡單有效,效率高。缺點是每次更換主題(第一種方法)或者更換主機(第二種方法)都需要記得重新添加這段代碼。

二、插件方式禁用 WordPress 的 XML-RPC 功能

如果不喜歡改代碼,直接裝插件就完事了。老唐用的就是下面提到的第二個插件。

1、Disable XML-RPC

功能簡單,啟用這個插件就直接禁用 XML-RPC 了,沒有任何其他功能。

2、Wordfence

功能比較強大,基本上算是功能最強大的 WordPress 安全插件之一,老唐目前用的就是這個。分為免費版和付費版,基本上免費版也夠用。

如果覺得上面的插件功能太多,那么可以安裝下面這個子版本,只提供 Login Security 功能。

設置方法如下,點擊 Settings 里面,就可以看到 Disable XML-RPC authentication,勾上保存即可。

以上就是不同的方法來禁用 WordPress 的 XML-RPC 功能。

參考:

贊(0)
版權聲明:本文采用知識共享 署名4.0國際許可協議 [BY-NC-SA] 進行授權
文章名稱:《WordPress 安全教程:WordPress 禁用 XML-RPC 功能方法 (代碼/插件)
文章鏈接:http://wldci.com/5861.html
本站資源僅供個人學習交流,請于下載后24小時內刪除,不允許用于商業用途,否則法律問題自行承擔。