编写时本博客基于WordPress
现在已经换成Halo啦~ 但我还是再发一遍

前言

WordPress如果不对xmlrpc.php进行处理的话,后台会提示有很多外国IP来进行爆破,安全性也是一个问题。
我当时就是被扫了呜呜呜呜呜呜.
所以对当时(2022-3-10)的解决办法进行了优化和整理(再发一遍!)
只保留比较方便设置还比较高效的方法

一劳永逸!

直接删除xmlrpc.php文件,该文件位于WordPress根目录(删掉了不就扫不了啦)
不过可能会导致部分功能无法使用
所以建议是,保留该文件,但清空文件内的内容 。留一个空文件。不会影响WordPress的运行
(我看别人博客都用什么禁用功能,然后设置什么网站跳转之类的。拜托,很麻烦诶)

屏蔽 xmlprc的功能

打开主题 的 functions.php 文件
添加以下代码,达到禁用功能
不过有些主题已经自带这条指令(我哭死)

add_filter('xmlrpc_enabled', '__return_false');

设置跳转网站或拒绝访问

设置跳转网站可以减少网站负担
比较麻烦,个人觉得也比较多余。
还是建议屏蔽功能!

设置跳转

修改.htaccess文件

# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php 你觉得没什么用的网页!(比如baidu.com)
</IfModule>

设置拒绝访问

Nginx
location ~* /xmlrpc.php {
    deny all;
}
Apache
# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

安装安全插件

WordPress的插件真的是太丰富了。
个人觉得 还是有必要装一个
所以大概看了下常用的安全插件(因为我只用过一款)

  • Wordfence Security (我一直在用的)
  • WP Cerber Security (特别标注了防范xmlrpc)
  • BulletProof Security (没用过)
  • All In One WP Security & Firewall (没用过)

大概就是这样!一定要保护好自己的Blog啊(嘱咐)

Sidere mens eadem mutato