最新公告
  • 欢迎您光临云创源码,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • WordPress网站被利用xmlrpc.php文件攻击怎么办?

    WordPress网站被利用xmlrpc.php文件攻击怎么办?

    正文概述 云码哥   2020-09-10   60

    WordPress网站被利用xmlrpc.php文件攻击怎么办?

    我们都知道xmlrpc.php文件位于网站根目录下,其实我对这个文件一直没有放在心上,认为我的网站放在了阿里云,又加了服务器安全防护,况且WP团队早就解决了漏洞,不过确实存在一种另类的WordPress暴力特别攻击,估计利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。

    那么我们应该如何关闭这个功能或解决被他人利用xmlrpc.php文件攻击呢?根据网上搜索的结果,大致有六种办法来解决:
    第一种是屏蔽XML-RPC(pingback)的功能
    在functions.php中添加

    add_filter('xmlrpc_enabled', '__return_false');

    第二种方法就是通过.htaccess屏蔽xmlrpc.php文件的访问

    # protect xmlrpc
    
    Order Deny,Allow
    Deny from all

    第三种同样的是修改.htaccess文件加跳转
    如果有用户访问xmlrpc.php文件,然后让其跳转到其他不存在或者存在的其他页面,降低自身网站的负担。

    # protect xmlrpc
    
    Redirect 301 /xmlrpc.php http://example.com/custom-page.php

    第四种阻止pingback端口
    在functions.php中添加

    add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
    function remove_xmlrpc_pingback_ping( $methods ) {
    unset( $methods['pingback.ping'] );
    return $methods;
    }

    第五种nginx服务器配置

    location ~* /xmlrpc.php {
        deny all;
    }

    第六种安装插件
    安装Login Security Solution插件(这个没有测试,你可以试试)

    小结
    1、不要直接删除xmlrpc.php,否则它会让你的wordpress网站发生莫名的错误。
    2、建议采用方法二
    3、其实扫描也罢,http的DDOS攻击也罢,CC攻击也罢,总之大量消耗服务器资源我们的服务器是累死的。
    5、如果你正在使用如JetPack之类的插件,删除掉这个文件可能会让你的网站功能异常。
    6、建议把WP升级到最新版本,相信新版本漏洞会少一点吧。
    7、一般这个功能是用不到的,我们直接屏蔽掉,默认当前的WP版本是开启的。这样,我们就可以解决WordPress被利用xmlrpc.php暴力破解攻击问题。有些时候并不是针对我们的网站攻击,而是对方利用某个关键字扫到我们的网站造成的。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!395912093@qq.com
    2. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!
    3. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 本站不保证所提供下载的资源的准确性、安全性和完整性,源码仅供下载学习之用!
    8. 如用于商业或者非法用途,与本站无关,一切后果请用户自负!
    9. 如遇到加密压缩包,默认解压密码为"www.loowp.com",如遇到无法解压的请联系管理员!

    云创源码 » WordPress网站被利用xmlrpc.php文件攻击怎么办?

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们。
    链接地址失效怎么办?
    联系站长QQ:395912093

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥90-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站等服务
      3、服务器环境配置(一般 ¥90-300)
      4、网站中毒处理(需额外付费,800元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥90-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站等服务
      3、服务器环境配置(一般 ¥90-300)
      4、网站中毒处理(需额外付费,800元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 1542会员总数(位)
    • 1754资源总数(个)
    • 76本周发布(个)
    • 5 今日发布(个)
    • 178稳定运行(天)

    加入VIP获取全站资源