关闭 xml-rpc 功能 / 解决 WordPress 被盗发文章

关闭 xml-rpc 功能 / 解决 WordPress 被盗发文章插图

最近发现使用 WordPress 搭建的网站,后台会经常莫名其妙的发布一些英文文章,而且很确定,这些英文文章并不是自己发布的,那问题出在哪里?

通过查看网站日志发现,每天有大量的 IP 访问 xmlrpc.php 这个文件,该文件是 WordPress 程序进行远程发布的,其实 xmlrpc.php 就是 WordPress 为手机等客户端提供接口的一个文件。这个功能我基本上很少用到。但现在却有人恶意大量的访问这个文件,说明很不正常。

首先,不要天真的以为您的管理员密码牢不可破,出现问题及时修改密码,是一种很好的习惯。建议定期更换复杂的密码。下面来说说如何禁用 xml-rpc 功能。

解决方法1:在 Nginx 配置文件中禁用 XML-RPC

在 Nginx 中拒绝所有针对 xmlrpc.php 的请求( 将下方代码添加到网站伪静态中即可)

location = /xmlrpc.php {
   deny all;
   access_log off;
   log_not_found off;
}

解决方法2:利用 functions.php 禁止 XML-RPC

修改当前主题 functions.php 文件 在最下面添加一行禁用 XML-RPC 的代码:

add_filter('xmlrpc_enabled', '__return_false');

标签

发表评论