拯救xmlrpc.php让WordPress瘫痪的的六种办法

今天对于我来说 是个战斗的日子&＃xff0c;上午发布完文章后&＃xff0c;很快360好搜就收录了&＃xff0c;但在打开网页的时候&＃xff0c;卡主了&＃xff0c;没有反应&＃xff0c;快速的重启Apache&＃xff0c;马上恢复&＃xff0c;但过了几分钟&＃xff0c;网站又打不开&＃xff0c;干脆重启服务器&＃xff0c;问题得到解决&＃xff0c;过了一会&＃xff0c;悲剧再次发生&＃xff0c;查看网站防护日志&＃xff0c;原来有个IP不停的访问xmlrpc.php文件&＃xff0c;造成服务器瘫痪&＃xff0c;也就是说对方在放大型暴力猜解攻击&＃xff0c;应该是传说中的xmlrpc暴力破解密码导致&＃xff0c;原因在于使用的wordpress程序默认xmlrpc.php开启&＃xff0c;而被用来DDOS攻击导致占用资源过高&＃xff0c;果断把这个IP拉成黑名单&＃xff0c;还是失败&＃xff0c;下面分享一下解决方法。

我们都知道xmlrpc.php文件位于网站根目录下&＃xff0c;其实我对这个文件一直没有放在心上&＃xff0c;认为我的网站放在了阿里云&＃xff0c;又加了服务器安全防护&＃xff0c;况且WP团队早就解决了漏洞&＃xff0c;不过确实存在一种另类的wordpress暴力特别攻击&＃xff0c;估计利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。
那么我们应该如何关闭这个功能或解决被他人利用xmlrpc.php文件攻击呢&＃xff1f;根据网上搜索的结果&＃xff0c;大致有六种办法来解决&＃xff1a;

第一种是屏蔽 XML-RPC (pingback) 的功能

在functions.php中添加

​
add_filter(&＃39;xmlrpc_enabled&＃39;, &＃39;__return_false&＃39;); ​

第二种方法就是通过.htaccess屏蔽xmlrpc.php文件的访问

# protect xmlrpc

Order Deny,Allow
Deny from all


第三种同样的是修改.htaccess文件加跳转

如果有用户访问xmlrpc.php文件&＃xff0c;然后让其跳转到其他不存在或者存在的其他页面&＃xff0c;降低自身网站的负担。

# protect xmlrpc

Redirect 301 /xmlrpc.php http://example.com/custom-page.php


第四种阻止pingback端口

在functions.php中添加

add_filter( &＃39;xmlrpc_methods&＃39;, &＃39;remove_xmlrpc_pingback_ping&＃39; );
function remove_xmlrpc_pingback_ping( $methods ) {
unset( $methods[&＃39;pingback.ping&＃39;] );
return $methods;
}

第五种nginx服务器配置

location ~* /xmlrpc.php {deny all;
}

第六种安装插件

安装Login Security Solution插件&＃xff08;这个没有测试&＃xff0c;你可以试试&＃xff09;

小结

1、不要直接删除xmlrpc.php&＃xff0c;否则它会让你的wordpress网站发生莫名的错误。
2、建议采用方法 2
3、其实扫描也罢&＃xff0c;http的DDOS攻击也罢&＃xff0c;CC攻击也罢&＃xff0c;总之大量消耗服务器资源我们的服务器是累死的。
5、如果你正在使用如JetPack之类的插件&＃xff0c;删除掉这个文件可能会让你的网站功能异常。
6、建议把WP升级到最新版本&＃xff0c;其实我的就是最新的WP4.5.3,还是要相信新版本漏洞少一点吧。
7、一般这个功能是用不到的&＃xff0c;我们直接屏蔽掉&＃xff0c;默认当前的WP版本是开启的。这样&＃xff0c;我们就可以解决WordPress被利用xmlrpc.php暴力破解攻击问题。有些时候并不是针对我们的网站攻击&＃xff0c;而是对方利用某个关键字扫到我们的网站造成的。

参考文章:

▪ wp-super-cache启用时出现WP_CACHE constant added to wp-config.php的解决方法

▪ 开启Gzip压缩加快你的wordpress网站加载浏览速度

▪ 修改WordPress上传文件大小限制的三种方法