自創建以來, WordPress 始終有一種方法可以遠程與您的網站進行通信(包括不同的博客平台和桌面客戶端),以便與其進行交互。 作為早期涉及的軟件平台之一,XML-RPC API 系統由 遠程過程調用 (RPC) 協議和 可擴展標記語言 (XML) 用於對其調用進行編碼 超文本傳輸協議 (HTTP) 用作傳輸協議。
查看所有產品
我們將深入探討到底是什麼 XML-RPC 它的用途是什麼,以及為什麼您應該在 WordPress 網站上關閉它。
什麼是 xmlrpc.php?
XML-RPC 是 WordPress 的核心 API,自 2003 年創建以來一直是 WordPress 的一部分。從早期開始,XML-RPC 一直是允許 WordPress 連接到更廣泛的互聯網而不是孤立運行的關鍵因素。 在早期版本中,XML-RPC 默認是禁用的,但是在 WordPress 版本 3.5,其中默認啟用 XML-RPC。 此外,WordPress 後端不再提供禁用它的選項。
XML-RPC 系統的代碼包含在 xmlrpc.php 文件,位於 WordPress 安裝的根目錄中。 專家們一致認為,XML-RPC 被認為已經過時了, 網絡安全風險,並替換為 休息API ——也包含在 WordPress 核心。
xmlrpc.php是如何被利用的?
第 17 條記錄 全面的 WordPress 安全檢查表 記錄了在 WordPress 網站上使用 XML-RPC 協議時產生的一些風險。 您應該禁用 XML-RPC 的主要原因是因為它根據 已知的 xmlrpc.php 漏洞。 問題不在於 XML-RPC API 系統本身,而在於網站上具有不同意圖的不同人如何使用它。 由於現代網絡託管架構中不再使用它,因此最好停用它。
在您的站點上激活 XML-RPC 時,會使用兩個最突出的漏洞 – 暴露安全漏洞。 他們是 分佈式拒絕服務 (DDoS) 和 暴力網絡攻擊:
- DDoS(分佈式拒絕服務) 網絡攻擊是指不良行為者使網絡服務器的互聯網流量超載,以阻止其他用戶訪問您的在線網站和服務。 在 WordPress 中,攻擊者使用 PingBack 功能 向眾多站點發送 pingback,並使用 XML-RPC,為攻擊者提供無限數量的 IP 地址來分發 DDoS 攻擊。
- 暴力破解 當攻擊者試圖通過暴力方法訪問您的網站時,就會使用網絡攻擊,其中 xmlrpc.php 用於測試用戶名和密碼的不同組合。 這個安全漏洞使他們能夠通過一次推送數千個組合的命令來自動執行攻擊,繞過您網站的安全性並獲得對其的訪問權限。
在 WordPress 中禁用 xmlrpc.php
禁用的方式主要有兩種 xmlrpc.php 在 WordPress 中:
- 使用插件禁用 WordPress XML-RPC。
- 禁用 xmlrpc.php 與 .htaccess 文件。
方法#1:使用插件禁用 WordPress XML-RPC
如果您想避免向網站添加任何自定義代碼,可以使用此方法。 您可以安裝並激活 禁用 XML-RPC-API 插件。 該插件將立即工作並禁用所有 XML-RPC,但您也可以配置該插件以允許特定 IP 地址仍然可以訪問 XML-RPC(如果需要):
方法#2:使用 .htaccess 文件禁用 xmlrpc.php
如果您不喜歡向網站添加額外的插件,您還可以使用以下代碼行禁用 XML-RPC: .htaccess 文件。
這種方法的優點是,您可以允許您的IP 地址或開發人員的IP 地址訪問XML-RPC,同時阻止其他人,並且它也不會對您的WordPress 網站的性能產生任何影響,因為它會阻止XML- RPC 請求在傳遞到 WordPress 之前。
如果您以後遇到任何問題,請確保創建您的備份 .htaccess 進行任何更改之前的文件。 您可以訪問您的 .htaccess 通過文件 FTP客戶端, 使用 文件管理器 在您的控制面板上,或 在您的服務器中使用 SSH。 一旦您擁有適當的訪問權限,您就可以打開並編輯 .htaccess 文件通過 Vim 文本編輯器。 您需要在中添加以下代碼 .htaccess 文件並替換 “xxx.xxx.xxx.xxx” 與您想要允許訪問的 IP 地址 xmlrpc.php:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>
允許兩個以上的IP地址訪問 xmlrpc.php,您可以添加另一行 “允許來自 xxx.xxx.xxx.xxx” 在之前的允許規則之下。 代碼應該如下所示:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from xxx.xxx.xxx.xxx
</Files>
測試以確保 xmlrpc.php 已禁用
一旦您選擇了關閉方法 xmlrpc.php,您需要測試是否已成功禁用 WordPress 網站上的 XML-RPC API 系統。
您可以檢查是否 xmlrpc.php 通過轉到以下 URL 來禁用 https://yourdomain.com/xmlrpc.php, 在哪裡 yourdomain.com 代表您的實際域名,您應該看到 “禁止 – 您無權訪問此資源。” 錯誤信息。
另一種方法是安裝 WordPress 移動應用程序 在您的手機或平板電腦上。 您可以通過以下方式安裝該應用程序 Apple 應用商店 或者 Google 應用商店 取決於您的手機。 安裝應用程序後,您可以打開它並單擊 “Enter 您現有的站點地址” 屏幕底部的按鈕:
提供您想要連接的 WordPress 站點,然後單擊 “繼續” 在屏幕底部的按鈕上:
如果 XML-RPC 已禁用,您將無法登錄,但您應該看到 “此站點上禁用了 XML-RPC 服務。” 錯誤信息。
結論
您應該知道 XML-RPC 是在 WordPress 之前創建的。 在更先進的通信方法發展之前,XML-RPC API 系統被證明是一個強大的工具,允許應用程序和服務與 WordPress 的舊版本。
然而,在更當前的網絡託管架構中, 休息API 已經完全取代了XML-RPC。 因此,沒有理由通過 XML-RPC xmlrpc.php 在您的 WordPress 網站上不再啟用,因為它只會產生黑客可以利用的漏洞。 禁用它是確保 WordPress 網站未來穩定性和安全性的最佳解決方案。
獲取託管 WordPress
我們的技術人員隨時準備幫助您優化網站並解決網絡託管問題。 該團隊由以下人員組成 樂於助人的人類 他們真正關心讓您的網絡形像變得出色。 請根據需要聯繫我們,獲取有關 Liquid 網絡託管產品的幫助。
與我們聊天