通过我的网站统计数据,我注意到我的wordpress / xmlrpc.php文件中出现了大量点击。这不是来自我的,我是否需要担心这里的某些事情,无论如何要保证这一点?
我在同一个apache2上运行多个wordpress网站,而这只是其中之一。
答案 0 :(得分:2)
如果您不使用xmlrpc界面(pingbacks或来自外部来源的博客,如android / iPhone),您可以关闭此功能。设置 - >写作 - > XML-RPC
答案 1 :(得分:1)
xmlrpc.php允许远程连接到WordPress。没有它,各种工具和发布应用程序将无法访问该网站。直接登录系统时,必须对网站进行任何更新或添加。
善良
通过禁用此功能,可以消除外部攻击获得访问权限的风险。尽管对该平台的贡献者证明xmlrpc.php的编程与WordPress其余核心文件一样安全,但是通过禁用此功能,某些人可能会感到更安全。
这就像有一所只有一扇门的房子。添加第二扇门可能更方便,但它会创建另一个需要锁定的入口点。
坏人
消除此功能的明显缺点是不再可以远程访问WordPress。这消除了系统的某些功能和多功能性。与其通过远程访问自动从其他应用程序发布博客,还必须通过直接登录WordPress进行任何内容和其他更改。
如果您根本不使用XML-RPC,那么最好的办法就是禁用它。有一个名为Disable XML-RPC的免费插件可以实现此目的。您可以获得in this post。高级插件Perfmatters(由Kinsta的团队成员开发)还允许您禁用XML-RPC以及WordPress网站的其他优化。
或者您可以通过将以下代码添加到插件或主题(尽管这绝对是插件领域)中的代码来做到这一点:
add_filter('xmlrpc_enabled','__return_false');
您可以防止的另一个问题是暴力登录尝试。一旦尝试几次失败,这些插件将锁定登录。 “多合一WP安全和防火墙”是一个更复杂的插件,可以执行此操作,但是您可以使用一些更特定的工具,例如“登录锁定”。我喜欢自己使用更具体的插件,以减少插件占用空间。
答案 2 :(得分:0)
我在我的一个新手客户端安装了“Windows Live Writer”。这对帖子很有用。 这很简单,做得很好。 它需要XML-RPC。
答案 3 :(得分:0)
我也对此xmlrpc.php感兴趣。但是我什至没有使用Wordpress!显然,黑客尝试使用不同的地址来通过此php页面获得访问权限。