修复wp安全隐患，防止xmlrpc.php被扫描

小明云虚拟主机

2024-01-15 0 297

修复 WordPress 最大安全隐患，防止 xmlrpc.php 被扫描！

在 wpJAM Basic 的微信群里，经常有小伙伴说，在服务器的访问记录里面看到 WordPress 的 xmlrpc.php 被大量请求，比如下图：

我甚至碰到过更加过分的情况，有客户的 WordPress 站点因为 xmlrpc.php 文件被扫描得过多，造成了服务器负载过多，进入后台和访问页面都变得非常缓慢，并且我们查了好久才知道是这个文件被扫描过多造成的，费事费心费力！

这是因为什么？为什么 xmlrpc.php 文件会被扫描？对于这个问题怎么处理更好。

什么是 XML-RPC

要理解为什么 xmlrpc.php 文件会被扫描，首先要明白什么是 XML-RPC，它的全称是 XML Remote Procedure Call，即 XML 远程过程调用，它是一套允许运行在不同操作系统、不同环境的程序实现基于网络过程调用的规范和一系列的实现。

简单说 RPC 就是通过像本地服务一样远程调用另外一台服务器上的服务来完成需求，XML-RPC 就是使用 XML 作为编码格式的 RPC。

XML-RPC 使用 http 作为传输协议，XML 作为传送信息的编码格式，一个 XML-RPC 消息就是一个请求体为 XML 的 http-post 请求，被调用的方法在服务器端执行并将执行结果以 XML 格式编码后返回。

一个 XML-RPC 协议包括两部分：

RPC client，用来向 RPC 服务端调用方法，并接收方法的返回数据。
RPC server，用于响应 RPC 客户端的请求，执行方法，并回送方法执行结果。

WordPress 源代码（ xmlrpc.php 文件）中已经包含了完整的 RPC 服务端代码，它支持对文章，媒体，评论，分类，选项等等各方面数据的管理。

换句话说，只要懂 XML-RPC 协议，就可以使用 XML-RPC 对 WordPress 博客的各个方面进行操作，也就是说可以使用 XML-RPC 做 WordPress 的客户端。

XML-RPC 安全隐患

XML-RPC 那么好用，也造成了一定的安全隐患，主要是给攻击者提供了便利，所以攻击者的一项工作就是扫描 xmlrpc.php 文件，以便可以实现：

1. XML-RPC pingbacks 攻击，攻击者可以利用 XML-RPC 的 pingbacks 方法对 WordPress 实行 DDoS （分布式拒绝服务）攻击，如果你使用了 CDN 服务商的 DNS 保护服务，攻击者还可以使用 pingbacks 方法获取站点的真实 IP，剩下不用我说了吧。😂

2. 即使 WordPress 设置了登录次数限制，但是使用 XML-RPC 暴力破解 WordPress 的账号密码却逃过了限制，并且 XML-RPC 一次请求就可以执行上百次密码的暴力破解。😓

彻底屏蔽 XML-RPC

既然存在这些问题，那么最好关闭 WordPress 的 XML-RPC 服务，群里面有些小伙伴建议直接删除 xmlrpc.php 文件就好了，但是删除了，下次 WordPress 升级之后又会出现，不太建议这么做。

最快的方法，只需在当前主题的 functions.php 文件添加下面这行代码就能关闭它：

add_filter('xmlrpc_enabled', '__return_false');

WPJAM Basic 插件的「优化设置」也有该选项（下图最后一个），直接勾选即可：

使用 PHP 代码或者插件方式关闭，xmlrpc.php 文件被扫描的时候，整个 WordPress 代码还是会被加载，所以如果浪费服务器资源在这上面，可以使用下面方式屏蔽服务器上 xmlrpc.php 文件的请求：

1. Apache 可以通过在 .htaccess 文件前面添加以下代码：

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

这时候访问 xmlrpc.php，页面显示：

2. nginx 服务器可以添加下面的规则：

location ~* ^/xmlrpc.php$ {
return 403;
}

3. 如果以上两个方式都不好用，还可以在 WordPress 的 wp-config.php 文件最开始的地方添加：

if(strpos($_SERVER['REQUEST_URI'], 'xmlrpc.php') !== false){
    $protocol   = $_SERVER['SERVER_PROTOCOL'] ?? '';

    if(!in_array($protocol, ['HTTP/1.1', 'HTTP/2', 'HTTP/2.0', 'HTTP/3'], true)){
        $protocol   = 'HTTP/1.0';
    }

    header("$protocol 403 Forbidden", true, 403);
    die;
}

收藏 (0) 打赏

感谢您的支持，我会继续努力的!

打开微信/支付宝扫一扫，即可进行扫码打赏哦，分享从这里开始，精彩与您同在

免责声明
1. 本站所有资源来源于用户上传和网络等，如有侵权请邮件联系本站整改team@lcwl.fun！
2. 分享目的仅供大家学习和交流，您必须在下载后24小时内删除！
3. 不得使用于非法商业用途，不得违反国家法律。否则后果自负！
4. 本站提供的源码、模板、插件等等其他资源，都不包含技术服务请大家谅解！
5. 如有链接无法下载、失效或广告，请联系本站工作人员处理！
6. 本站资源售价或VIP只是赞助，收取费用仅维持本站的日常运营所需！
7. 如遇到加密压缩包，请使用WINRAR解压，如遇到无法解压的请联系管理员！
8. 因人力时间成本问题，部分源码未能详细测试（解密），不能分辨部分源码是病毒还是误报，所以没有进行任何修改，大家使用前请进行甄别！
9.本站所有源码资源都是经过本站工作人员人工亲测可搭建的，保证每个源码都可以正常搭建，但不保证源码内功能都完全可用，源码属于可复制的产品，无任何理由退款！

网站搭建学习网云虚拟主机修复wp安全隐患，防止xmlrpc.php被扫描 https://www.xuezuoweb.com/2635.html