WordPress 安全是一個不容忽視的問題，今天收到郵件，提示 VPS 的 CPU 占用過高，照理說不應該，畢竟網站也沒多少訪問量，于是排查了一下訪問記錄，發現是有人在嘗試用 XML-RPC 來破解密碼。這個確實是 WordPress 長久以來的一個算是 bug 的存在，所以我們只需把 WordPress 的 XML-RPC 功能給禁用掉就行了。禁用 WordPress XML-RPC 功能也很簡單，我們可以通過代碼或者是插件的方法來禁用，都可以。

XML-RPC 這個功能是讓我們可以使用客戶端來登陸和管理博客，但是由于客戶端的限制，我們其實 99.99% 的情況下是用不到這個功能的，反而留下一個安全隱患。

WordPress 安全教程系列文章：

• 《WordPress 安全教程：WordPress 禁用 XML-RPC 功能方法 (代碼/插件)》
• 《WordPress 安全教程：WP 網站二步驗證插件推薦 (2FA) 以及啟用方法》

一、代碼方式禁用 WordPress 的 XML-RPC 功能

以下方法二選一即可。

1、修改 WordPress 主題文件

add_filter('xmlrpc_enabled', '__return_false');

2、修改 .htaccess 文件

# Block WordPress xmlrpc.php requests 
<Files xmlrpc.php> 
order deny,allow 
deny from all 
allow from 123.123.123.123 
</Files>

優點是代碼方法簡單有效，效率高。缺點是每次更換主題（第一種方法）或者更換主機（第二種方法）都需要記得重新添加這段代碼。

二、插件方式禁用 WordPress 的 XML-RPC 功能

如果不喜歡改代碼，直接裝插件就完事了。老唐用的就是下面提到的第二個插件。

1、Disable XML-RPC

功能簡單，啟用這個插件就直接禁用 XML-RPC 了，沒有任何其他功能。

2、Wordfence

功能比較強大，基本上算是功能最強大的 WordPress 安全插件之一，老唐目前用的就是這個。分為免費版和付費版，基本上免費版也夠用。

如果覺得上面的插件功能太多，那么可以安裝下面這個子版本，只提供 Login Security 功能。

設置方法如下，點擊 Settings 里面，就可以看到 Disable XML-RPC authentication，勾上保存即可。

以上就是不同的方法來禁用 WordPress 的 XML-RPC 功能。

參考：