主题秀一、什么是 xmlrpc.php?
要说WordPress的xmlrpc.php,首先要说XML-RPC,它的全称是 XML Remote Procedure Call,即 XML 远程过程调用,XML-RPC是一种远程过程调用协议,用于在客户端和服务器之间进行通信。它是一套允许运行在不同操作系统、不同环境的程序实现基于网络过程调用的规范和一系列的实现。
简单说 RPC 就是通过像本地服务一样远程调用另外一台服务器上的服务来完成需求,XML-RPC 就是使用 XML 作为编码格式的 RPC。
XML-RPC 使用 http 作为传输协议,XML 作为传送信息的编码格式,一个 XML-RPC 消息就是一个请求体为 XML 的 http-post 请求,被调用的方法在服务器端执行并将执行结果以 XML 格式编码后返回。
一个 XML-RPC 协议包括两部分:
- RPC client:用来向 RPC 服务端调用方法,并接收方法的返回数据。
- RPC server:用于响应 RPC 客户端的请求,执行方法,并回送方法执行结果。
WordPress 源代码( xmlrpc.php)中已经包含了完整的 RPC 服务端代码,它支持对文章,媒体,评论,分类,选项等等各方面数据的管理。
换句话说,只要懂 XML-RPC 协议,就可以使用 XML-RPC 对 WordPress 博客的各个方面进行操作,也就是说可以使用 XML-RPC 做 WordPress 的客户端。
xmlrpc.php 是 WordPress 用于实现 XML-RPC 协议的入口点,它允许远程客户端通过 XML-RPC 协议与你的 WordPress 网站进行通信,可以使用一些XML-RPC客户端对 WordPress 操作,如发布文章、编辑内容、管理评论等等。
XML-RPC 是 WordPress 的一个特性,可以传输数据,HTTP 作为传输机制,XML 作为编码机制。 由于 WordPress 不是一个自封闭的系统,并且偶尔需要与其他系统进行通信,因此试图处理这项工作。
例如,假设您想通过移动设备在您的网站上发帖,因为您的计算机不在附近。 您可以使用 xmlrpc.php 启用的远程访问功能来做到这一点。
其实xmlrpc.php就是WordPress 为手机等客户端提供接口的一个文件。
二、为什么要尽可能的屏蔽 xmlrpc.php?
尽管 xmlrpc.php 提供了一些方便的功能,但它也可能成为潜在的安全风险。一些恶意方可能尝试利用 XML-RPC 漏洞进行攻击,例如进行暴力破解登录、Pingbacks进行DDoS攻击等。
我甚至碰到过更加过分的情况,有客户的 WordPress 站点因为 xmlrpc.php 文件被扫描得过多,站有大量 POST 请求 xmlrpc.php,导致CPU过高,内存也比平时占用大,造成了服务器负载过多,进入后台和访问页面都变得非常缓慢,并且我们查了好久才知道是这个文件被扫描过多造成的,费时费心费力!
解决方法:
三、如何禁用 xmlrpc.php?禁用xmlrpc.php的几种方法
如果你只在 WordPress 的后台写文章,完全可以关闭 XML-RPC 功能,以增强 WordPress 网站的安全性,你可以通过以下方法禁用 xmlrpc.php:
方法1:通过主题目录下的 functions.php 禁用
该方法比较简单,直接在wordpress后台或者远程连接修改当地使用的wordpress主题目录下的 functions.php 文件,在最后 ?> 的前面加上一行:
add_filter('xmlrpc_enabled', '__return_false');保存即可。
方法2、禁止 xmlrpc.php 访问
2.1、Nginx
修改对应的虚拟主机配置文件,在里面添加上:
location = /xmlrpc.php {
return 444;
access_log off;
log_not_found off;
}最后重启Nginx使其生效。
2.2、Apache
修改网站目录下面的 .htaccess 文件,添加如下内容:
Order Deny,Allow
Deny from all方法3、防火墙、WAF、自定义规则等
如果你使用了CDN,一般CDN上访问控制之类的设置里面也可以进行阻止。例如:cloudflare – 安全性 – WAF – 自定义规则。
总结:
禁用 xmlrpc.php 的方法1、方法2、方法3都是可以同时使用的。而且现在很多的Wordpress主题 – 主题选项或设置 都自带有 禁用xmlrpc 的功能。
一位 WordPress 评论者 5个月前 (06-29):
评论前必须登录!
注册