走啊走
来wordpress建站吧

WordPress被利用xmlrpc.php进行暴力破解如何防护?

WordPress被利用xmlrpc.php进行暴力破解如何防护?

这个最近一段时间老是有人利用xmlrpc.php来POST提交猜我的网站密码,网站安装了一些wordpress安全插件,所以经常会收到一些报警,网站锁定通知等,表示非常无语。通过安全插件通过屏蔽IP似乎都不太好使,没有停止过。结果一查是通过这个xmlrpc.php 文件来实现的攻击,访问https://www.zouaw.com/xmlrpc.php 会跳转来实现和解决了这个问题,大概方式就是访问然后post提交的方式来猜测用户名和密码吧,因此准备治疗一下就在网上找了一些方法。

根据网上搜索的结果,大致有三种办法来解决:

方法一:关闭XML-RPC (pingback) 的功能

我们只需要在主题functions文件中添加以下代码即可关闭XML-RPC功能:

  1. add_filter(‘xmlrpc_enabled’, ‘__return_false’);

如果仅仅想关闭XML-RPC的pingback端口,而不影响第三方离线发表功能,请在functions文件中添加以下代码:

  1. add_filter( ‘xmlrpc_methods’, ‘remove_xmlrpc_pingback_ping’ );
  2. function remove_xmlrpc_pingback_ping( $methods ) {
  3. unset( $methods[‘pingback.ping’] );
  4. return $methods;
  5. }

方法二:通过.htaccess禁止用户访问xmlrpc.php文件

  1. # protect xmlrpc
  2. <Files xmlrpc.php>
  3. Order Deny,Allow
  4. Deny from all
  5. </Files>

方法三:通过.htaccess文件实现301重定向

  1. # protect xmlrpc
  2. <IfModule mod_alias.c>
  3. Redirect 301 /xmlrpc.php http://www.baidu.com/
  4. </IfModule>

Nginx服务器这样写:

location ~* /xmlrpc.php {
  proxy_pass https://www.baidu.com;
}

总体的思路就是要么禁止访问这个页面,要么就是访问这个页面的时候自动给他跳转到新页面,也可以添加个301重定向来搞定吧。

微信订阅号:wordpress8—WordPress建站安装 » WordPress被利用xmlrpc.php进行暴力破解如何防护?

评论 11

#快捷签到点我#

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #8

    日常屏蔽XML-RPC和REST API,安全又快速

    沃茨1年前 (2019-05-20)回复
    • 确实,之前没重视经常有人想要破解我的账号密码

      华年轻度1年前 (2019-05-20)回复
  2. #7

    直接禁用了,没有使用客户端的需求就没什么

    闲鱼1年前 (2019-05-20)回复
  3. #6

    建议网站多备份,做好安全防护,做站长真不容易

    大事记1年前 (2019-05-19)回复
  4. #5

    测试

    华年轻度1年前 (2019-05-19)回复
  5. #4

    学习了

    技术库1年前 (2019-05-18)回复
  6. #3

    我直接用wpjam禁用

    小石1年前 (2019-05-18)回复
  7. #2

    华年轻度1年前 (2019-05-17)回复
  8. #1

    学习了

    iTofun1年前 (2019-05-17)回复

ECS突发性能T6-99元/年
力荐

阿里云服务器,ECS共享型S6新品低至69.86/年

阅读(1502)评论(242)

新用户专属小站价,爆款产品1折起,百度云服务器之前买的特价大概100块钱左右一年的吧,大概还有一个月就要过期了,平时没怎么用基本是空着的,做一些测试用,今天去百度云续费域名,结果发现又有活动团购价格62元/6个月的价格,感觉比较划算六十多块钱买半年,这个价格还是比较诱人的,...

ECS突发性能T6-99元/年
新手必看

wordpress建站首选云服务器229.00/3年

阅读(2822)评论(242)

新用户专属小站价,爆款产品1折起爆款产品5折起,新老用户同享优惠,限时抢购,指定云产品使用 限新用户 最高¥2000...

本站正在用阿里云ECS服务器;特价主机低至¥102元/年起开抢 阿里云特价通道
宝塔服务器面板,一键全能部署及管理网站服务器,送你¥3188礼包 点我领取
阿里云0.9折 腾讯云95元起 9.9元云主机