WordPress 被利用xmlrpc.php进行暴力破解如何防护?
这个最近一段时间老是有人利用xmlrpc.php来POST提交猜我的网站密码,网站安装了一些wordpress安全插件,所以经常会收到一些报警,网站锁定通知等,表示非常无语。通过安全插件通过屏蔽IP似乎都不太好使,没有停止过。结果一查是通过这个xmlrpc.php 文件来实现的攻击,访问 会跳转来实现和解决了这个问题,大概方式就是访问然后post提交的方式来猜测用户名和密码吧,因此准备治疗一下就在网上找了一些方法。
根据网上搜索的结果,大致有三种办法来解决:
方法一:关闭XML-RPC (pingback) 的功能
我们只需要在主题functions文件中添加以下代码即可关闭XML-RPC功能:
- add_filter(‘xmlrpc_enabled’, ‘__return_false’);
如果仅仅想关闭XML-RPC的pingback端口,而不影响第三方离线发表功能,请在functions文件中添加以下代码:
- add_filter( ‘xmlrpc_methods’, ‘remove_xmlrpc_pingback_ping’ );
- function remove_xmlrpc_pingback_ping( $methods ) {
- unset( $methods[‘pingback.ping’] );
- return $methods;
- }
方法二:通过. htaccess 禁止用户访问xmlrpc.php文件
- # protect xmlrpc
- <Files xmlrpc.php>
- Order Deny, Allow
- Deny from all
- </Files>
方法三:通过.htaccess文件实现 301重定向
- # protect xmlrpc
- <IfModule mod_alias.c>
- Redirect 301 /xmlrpc.php
- </IfModule>
Nginx 服务器这样写:
location ~* /xmlrpc.php {
proxy_pass
}
总体的思路就是要么禁止访问这个页面,要么就是访问这个页面的时候自动给他跳转到新页面,也可以添加个301重定向来搞定吧。
