关闭 xml-rpc 功能 / 解决 WordPress 被盗发文章

最近发现使用 WordPress 搭建的网站，后台会经常莫名其妙的发布一些英文文章，而且很确定，这些英文文章并不是自己发布的，那问题出在哪里？

通过查看网站日志发现，每天有大量的 IP 访问 xmlrpc.php 这个文件，该文件是 WordPress 程序进行远程发布的，其实 xmlrpc.php 就是 WordPress 为手机等客户端提供接口的一个文件。这个功能我基本上很少用到。但现在却有人恶意大量的访问这个文件，说明很不正常。

首先，不要天真的以为您的管理员密码牢不可破，出现问题及时修改密码，是一种很好的习惯。建议定期更换复杂的密码。下面来说说如何禁用 xml-rpc 功能。

解决方法1：在 Nginx 配置文件中禁用 XML-RPC

在 Nginx 中拒绝所有针对 xmlrpc.php 的请求（ 将下方代码添加到网站伪静态中即可）

location = /xmlrpc.php {
   deny all;
   access_log off;
   log_not_found off;
}

解决方法2：利用 functions.php 禁止 XML-RPC

修改当前主题 functions.php 文件 在最下面添加一行禁用 XML-RPC 的代码：

add_filter('xmlrpc_enabled', '__return_false');