编写时本博客基于WordPress
前言
WordPress如果不对xmlrpc.php进行处理的话,后台会提示有很多外国IP来进行爆破,安全性也是一个问题。
我当时就是被扫了呜呜呜呜呜呜.
所以对当时(2022-3-10)的解决办法进行了优化和整理(再发一遍!)
只保留比较方便设置还比较高效的方法
一劳永逸!
直接删除xmlrpc.php文件,该文件位于WordPress根目录(删掉了不就扫不了啦)
不过可能会导致部分功能无法使用
所以建议是,保留该文件,但清空文件内的内容 。留一个空文件。不会影响WordPress的运行
(我看别人博客都用什么禁用功能,然后设置什么网站跳转之类的。拜托,很麻烦诶)
屏蔽 xmlprc的功能
打开主题 的 functions.php 文件
添加以下代码,达到禁用功能
不过有些主题已经自带这条指令(我哭死)
add_filter('xmlrpc_enabled', '__return_false');
设置跳转网站或拒绝访问
设置跳转网站可以减少网站负担
比较麻烦,个人觉得也比较多余。
还是建议屏蔽功能!
设置跳转
修改.htaccess文件
# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php 你觉得没什么用的网页!(比如baidu.com)
</IfModule>
设置拒绝访问
Nginx
location ~* /xmlrpc.php {
deny all;
}
Apache
# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
安装安全插件
WordPress的插件真的是太丰富了。
个人觉得 还是有必要装一个
所以大概看了下常用的安全插件(因为我只用过一款)
- Wordfence Security (我一直在用的)
- WP Cerber Security (特别标注了防范xmlrpc)
- BulletProof Security (没用过)
- All In One WP Security & Firewall (没用过)
大概就是这样!一定要保护好自己的Blog啊(嘱咐)
Q.E.D.
