wordPress安全防护:xmlrpc.php暴力破解如何防护?

11.11 智惠上云提前购,助力产业智慧升级,云服务器首年88元起,更有千元代金券礼包免费领!

最近一段时间有人利用xmlrpc.php来POST提交猜wordpress网站密码。通过安全插件通过屏蔽IP似乎都不太好使,没有停止过。

WordPress被利用xmlrpc.php进行暴力破解如何防护?

一查是通过这个xmlrpc.php 文件来实现的攻击,大概方式就是访问然后post提交的方式来猜测用户名和密码吧,因此准备治疗一下就在网上找了一些方法。

根据网上搜索的结果,大致有三种办法来解决:

方法一:关闭XML-RPC (pingback) 的功能

我们只需要在主题functions文件中添加以下代码即可关闭XML-RPC功能

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

如果仅仅想关闭XML-RPCpingback端口,而不影响第三方离线发表功能,请在functions文件中添加以下代码:

add_filter( ‘xmlrpc_methods’, ‘remove_xmlrpc_pingback_ping’ );
function remove_xmlrpc_pingback_ping( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
}

方法二:通过.htaccess禁止用户访问xmlrpc.php文件

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

方法三:通过.htaccess文件实现301重定向

# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php http://www.baidu.com/
</IfModule>

Nginx服务器这样写:

location ~* /xmlrpc.php {
  proxy_pass https://www.baidu.com;
}

总体的思路就是要么禁止访问这个页面,要么就是访问这个页面的时候自动给他跳转到新页面,也可以添加个301重定向来搞定吧。

未经允许不得转载:地下室先生博客 » wordPress安全防护:xmlrpc.php暴力破解如何防护?

赞 (0) 打赏作者

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏