WordPress 安全教程:WordPress 禁用 XML-RPC 功能方法 (代码/插件)

搬瓦工

WordPress 安全是一个不容忽视的问题,今天收到邮件,提示 VPS 的 CPU 占用过高,照理说不应该,毕竟网站也没多少访问量,于是排查了一下访问记录,发现是有人在尝试用 XML-RPC 来破解密码。这个确实是 WordPress 长久以来的一个算是 bug 的存在,所以我们只需把 WordPressXML-RPC 功能给禁用掉就行了。禁用 WordPress XML-RPC 功能也很简单,我们可以通过代码或者是插件的方法来禁用,都可以。

XML-RPC 这个功能是让我们可以使用客户端来登录和管理博客,但是由于客户端的限制,我们其实 99.99% 的情况下是用不到这个功能的,反而留下一个安全隐患。

WordPress 安全教程系列文章:

一、代码方式禁用 WordPress 的 XML-RPC 功能

以下方法二选一即可。

1、修改 WordPress 主题文件

add_filter('xmlrpc_enabled', '__return_false');

2、修改 .htaccess 文件

# Block WordPress xmlrpc.php requests 
<Files xmlrpc.php> 
order deny,allow 
deny from all 
allow from 123.123.123.123 
</Files>

优点是代码方法简单有效,效率高。缺点是每次更换主题(第一种方法)或者更换主机(第二种方法)都需要记得重新添加这段代码。

二、插件方式禁用 WordPress 的 XML-RPC 功能

如果不喜欢改代码,直接装插件就完事了。老唐用的就是下面提到的第二个插件。

1、Disable XML-RPC

功能简单,启用这个插件就直接禁用 XML-RPC 了,没有任何其他功能。

Disable XML-RPC

2、Wordfence

功能比较强大,基本上算是功能最强大的 WordPress 安全插件之一,老唐目前用的就是这个。分为免费版和付费版,基本上免费版也够用。

Wordfence Security – Firewall & Malware Scan

如果觉得上面的插件功能太多,那么可以安装下面这个子版本,只提供 Login Security 功能。

Wordfence Login Security

设置方法如下,点击 Settings 里面,就可以看到 Disable XML-RPC authentication,勾上保存即可。

以上就是不同的方法来禁用 WordPress 的 XML-RPC 功能。

参考:

赞(0)
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《WordPress 安全教程:WordPress 禁用 XML-RPC 功能方法 (代码/插件)
文章链接:https://oldtang.com/5861.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。