手记

对于WordPress安全建议尽早禁用xmlrpc.php

WordPress的XML-RPC是为了规范不同系统之间的通信的一种代码,这意味着WordPress之外的应用程序(比如其他博客平台和桌面客户端)也是可以与WordPress进行相互之间的通信。

自从WordPress诞生以来,这个通信规范一直都是WordPress的一部分,非常有用。没有它,WordPress将与互联网的其他部分隔离开来。

然而,xmlrpc.php有它的缺点。它可以给你的WordPress网站注入漏洞,这个网站已经被WordPress REST API所取代。最好通过应用编程接口向其他应用程序打开WordPress。

此外还可以通过xmlrpc.php对自己的网站进行DDos

xmlrpc.php启用的功能之一是平回和引用通告。当另一个博客或网站链接到您的博客文章时,这些通知将显示在您网站的评论中。

XML-RPC规范使得这种通信成为可能,但是它已经被REST API所取代(正如我们已经看到的)。

如果您的站点启用了XML-RPC,黑客可能会利用xmlrpc.php在短时间内向您的站点发送大量的ping命令,从而在您的站点上发起DDoS攻击。这可能会使服务器过载,并阻止站点正常运行。

同时也可以通过XML-RPC,黑客可能会利用xmlrpc.php在对长时间对你的网站进行无限制的密码爆破,从而进入到你的后台,让你的网站时时刻刻都有一种被人入侵,一旦被同行利用,直接入侵你的网站,对你的网站进行删库,从而达到他的目的。(百度:113资讯网)

xmlrpc.php是否在您的WordPress网站上运行?
其实很简单:直接在WordPress XML-RPC验证服务 网站上输入的你网站

会显示你的网站是否禁用xmlrpc.php,如果看不懂英文,建议使用Google浏览器,一键翻译。

最后

安装插件以禁用xmlrpc.php是最简单的方法。你可以通过安装Disable XML-RPC插件来实现。


0人推荐
随时随地看视频
慕课网APP