如何禁用WordPress的XML-RPC用于黑客的非法数据入侵,防止网站被黑

如何禁用WordPress的XML-RPC用于黑客的非法数据入侵,防止网站被黑

3320

由于安全方面的原因,很长一段时间以来XML-RPC默认都是禁用的。但是在WordPress 3.5及以后的版本中,XML-RPC被设置成了默认启用并且后台没有地方可以关掉这个功能。本文,我们将讲解如何在WordPress中禁用XML-RPC并更深入的讨论为什么要默认开启该功能。

WordPress中XML-RPC的用途是什么?

什么是XML-RPC?

百度百科的解释是,XML-RPC的全称是XML Remote Procedure Call,即XML(标准通用标记语言下的一个子集)远程过程调用。它是一套允许运行在不同操作系统、不同环境的程序实现基于Internet过程调用的规范和一系列的实现。这种远程过程调用使用http作为传输协议,XML作为传送信息的编码格式。Xml-Rpc的定义尽可能的保持了简单,但同时能够传送、处理、返回复杂的数据结构。

那么在在WordPress程序网站当中,XML-RPC 用于为pingback的功能,用于远程发布的文章和需要与外部应用程序的特定通信的其它功能。

通过Pingback功能,可以通知另一个博客的作者您已在其站点上放置了指向其文章的链接(反之亦然)。

可将本地安装在计算机上的Weblog程序用于文章的远程发布。即使没有互联网连接,也可以创建文章。激活互联网连接后,应用程序会将已经创建的文章发送到WordPress网站。

每个WordPress安装都包含位于系统根目录中的xmlrpc.php文件。

通过此文件使用XML-RPC功能。通过xmlrpc.php,WordPress可以接收和发送XML-RPC信号并与其他外部应用程序进行通信。

为什么要在WordPress中禁用XML-RPC

实际上,xmlrpc.php带来安全风险。它为您的站点创建了一个附加访问点,这可能使其容易受到外部攻击。每次对XML-RPC进行身份验证时,都需要提供用户名和密码,相比安全性来说,这个功能并不那么重要。

例如,为了防止暴力攻击,您可以限制在WordPress网站上的登录尝试。但是,启用XML-RPC后,该限制将不存在。尝试登录没有上限,这意味着确定的网络犯罪分子获得访问权限只是时间问题。

通过禁用XML-RPC,您可以关闭黑客的潜在进入区域。当然,没有XML-RPC,就不可能进行远程访问。您需要直接登录WordPress以进行发布和更新。因此,如果移动应用程序和远程软件是您进行网站更新的方法,则不能关闭该功能

以前,鉴于对安全性的考虑,所以将XML-RPC设置为默认禁用。但是现在情况完全不同了,WordPress的代码质量有了很大的提升,归功于开发团队大量的工作,它在API开发方面不再受到歧视。 与其他核心相比,安全性已经不是什么大问题了。

现在已经没有什么理由再将它默认设置为禁用了,是时候删掉这个选项了。

如何禁用XML-RPC?

只需要将下面的代码粘贴到主题的functions.php文件中即可:

add_filter('xmlrpc_enabled', '__return_false');

或者,你还可以安装一个叫Disable XML-RPC的插件,只需要启用该插件即可,跟上面那行代码的功能是一样的。

在Apache环境下使用.htaccess禁用XML-RPC

如果你的服务器或主机空间采用的是Apache服务,可以通过.htaccess禁用WordPress中的xmlrpc.php功能,您需要转到WordPress网站的根文件夹,找到并打开.htaccess文件并添加以下代码:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

如果您要允许访问xmlrpc.php的特定IP地址,则可以在上面的代码段中替换123.123.123.123。否则,您可以完全删除此行。

注意:如果您的网站上有.htaccess文件,但您看不到它,请访问设置并单击“显示隐藏的文件”。

在 Nginx 环境下禁用XML-RPC

你可以在对应网站的配置文件中,添加下面的代码禁用 XML-RPC:

  此处内容已隐藏,请评论后刷新页面查看.

如果您要允许访问xmlrpc.php的特定IP地址,则可以在上面的代码段中替换123.123.123.123。否则,您可以完全删除此行。

现在,除了您选择的特定用户外,所有人都将无法远程使用xmlrpc.php

小结

XML-RPC 是WordPress用于远程发布文章和博客互动通信的桥梁,也是黑客攻击的重要对象,所以,出于安全性考虑,你应该根据自己的实际需求选择是否禁用该功能。另外提示一点你忙了这么多如果还没动手的话,其实建议直接删除/www/wwwroot/uzhixcom/xmlrpc.php文件

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
岛主领域教程之家网站/配置/代码自学/网络/笔记
# XML-RPC
喜欢就支持一下吧
点赞0 分享
相关推荐
优知新官方注册邀请码强烈推荐加入官方Q群:4033135-知新网
优知新官方注册邀请码强烈推荐加入官方Q群:4033135
优知新官方注册邀请码强烈推荐加入官方Q群:4033135
1年前 2753
子比主题美化之自定义全局底部样式和功能(原创来自狐狸库博客)-知新网
子比主题美化之自定义全局底部样式和功能(原创来自狐狸库博客)
子比主题美化之自定义全局底部样式和功能(原创来自狐狸库博客)
2年前 1387
子比主题更改首页样式幻灯片大图全宽度[子比教程]-知新网
子比主题更改首页样式幻灯片大图全宽度[子比教程]
子比主题更改首页样式幻灯片大图全宽度[子比教程]
2年前 1255
初一小盏子比主题美化合集(美化功能内置主题带后台管理) – 年终钜惠过时涨价-知新网
初一小盏子比主题美化合集(美化功能内置主题带后台管理) – 年终钜惠过时涨价
初一小盏子比主题美化合集(美化功能内置主题带后台管理) – 年终钜惠过时涨价
1年前 1242
给子比主题个人中心和用户页头部添加ID展示和注册时间美化-知新网
给子比主题个人中心和用户页头部添加ID展示和注册时间美化
给子比主题个人中心和用户页头部添加ID展示和注册时间美化
2年前 1228
子比主题美化导航菜单添加自定义徽章及多种样式菜单设置方法-知新网
子比主题美化导航菜单添加自定义徽章及多种样式菜单设置方法
子比主题美化导航菜单添加自定义徽章及多种样式菜单设置方法
2年前 1193
评论 共3条
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片
快捷回复
谢谢你的分享,我从中学到了很多!
教程很好用,谢谢!
好东西,学习一下!
楼主听话,快到碗里来!
路过一下,我只是来打酱油的!
水帖美如花,养护靠大家!
    只看作者
    • 的头像-知新网bagezi0
      过分优秀也是“违法”的
      1年前山东回复
    • 的头像-知新网wyblog0
      教程很好用,谢谢!
      2年前广东回复
    • 的头像-知新网小黑屋禁封中kobai0
      博主NB,666
      2年前河南回复
社区求救信号帮助是一种美德
问答区