WordPress 安全是一個不容忽視的問題,今天收到郵件,提示 VPS 的 CPU 占用過高,照理說不應該,畢竟網站也沒多少訪問量,于是排查了一下訪問記錄,發現是有人在嘗試用 XML-RPC 來破解密碼。這個確實是 WordPress 長久以來的一個算是 bug 的存在,所以我們只需把 WordPress 的 XML-RPC 功能給禁用掉就行了。禁用 WordPress XML-RPC 功能也很簡單,我們可以通過代碼或者是插件的方法來禁用,都可以。
XML-RPC 這個功能是讓我們可以使用客戶端來登陸和管理博客,但是由于客戶端的限制,我們其實 99.99% 的情況下是用不到這個功能的,反而留下一個安全隱患。
WordPress 安全教程系列文章:
一、代碼方式禁用 WordPress 的 XML-RPC 功能
以下方法二選一即可。
1、修改 WordPress 主題文件
add_filter('xmlrpc_enabled', '__return_false');
2、修改 .htaccess 文件
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
優點是代碼方法簡單有效,效率高。缺點是每次更換主題(第一種方法)或者更換主機(第二種方法)都需要記得重新添加這段代碼。
二、插件方式禁用 WordPress 的 XML-RPC 功能
如果不喜歡改代碼,直接裝插件就完事了。老唐用的就是下面提到的第二個插件。
功能簡單,啟用這個插件就直接禁用 XML-RPC 了,沒有任何其他功能。
功能比較強大,基本上算是功能最強大的 WordPress 安全插件之一,老唐目前用的就是這個。分為免費版和付費版,基本上免費版也夠用。
如果覺得上面的插件功能太多,那么可以安裝下面這個子版本,只提供 Login Security 功能。
設置方法如下,點擊 Settings 里面,就可以看到 Disable XML-RPC authentication,勾上保存即可。
以上就是不同的方法來禁用 WordPress 的 XML-RPC 功能。
參考: