WordPress之XMLRPC.PHP文件（WordPress中禁用XMLRPC.PHP，刪除xmlrpc.php防止暴力破解）

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

昨天發(fā)現(xiàn)自己站點(diǎn)被人持續(xù)強(qiáng)奸，因?yàn)榭床坏揭恍┫嚓P(guān)東西，沒(méi)注意是個(gè)啥，今天看了一下，發(fā)現(xiàn)果然還是我預(yù)料的文件XMLRPC.PHP；如下圖所示

其實(shí)之前我是干掉了xmlrpc.php的方向，不知道為啥咋又回來(lái)了，今天說(shuō)說(shuō)它，然后繼續(xù)干掉！

在WordPress或其他基于PHP的內(nèi)容管理系統(tǒng)中，xmlrpc.php是一個(gè)實(shí)現(xiàn)XMLRPC協(xié)議的腳本，XMLRPC是一種簡(jiǎn)單的網(wǎng)絡(luò)協(xié)議，允許不同的系統(tǒng)之間通過(guò)HTTP進(jìn)行通信，在某些情況下，出于安全考慮，可以把它干掉！WordPress中的 XML-RPC 功能默認(rèn)啟用，允許多種功能，例如發(fā)布帖子、管理評(píng)論和遠(yuǎn)程更新類別。

其實(shí)解決方式，可參閱站內(nèi)文章即可：WordPress出現(xiàn)很多訪問(wèn)xmlrpc.php（403/GET）的解決辦法

解決辦法呢，也很簡(jiǎn)單：可以直接備份一份xmlrpc.php，然后編輯xmlrpc.php把里面的內(nèi)容全部清空，看一下是否有啥錯(cuò)誤，沒(méi)啥錯(cuò)誤即可！

WordPress中的XML-RPC危害說(shuō)明：WordPress中的XML-RPC安全威脅

WordPress中的XML-RPC暴力破解攻擊

由于xmlrpc.php可以處理遠(yuǎn)程的POST請(qǐng)求，它可能被惡意用戶用來(lái)進(jìn)行暴力破解攻擊，嘗試猜測(cè)管理員的用戶名和密碼。

拒絕服務(wù)攻擊（DoS）

惡意用戶可以向xmlrpc.php發(fā)送大量請(qǐng)求，消耗服務(wù)器資源，導(dǎo)致正常的服務(wù)無(wú)法訪問(wèn)。

WordPress中的XML-RPC性能影響

xmlrpc.php可能會(huì)占用服務(wù)器資源，尤其是在高并發(fā)的情況下，這可能會(huì)影響到網(wǎng)站的響應(yīng)速度和整體性能。

WordPress中的XML-RPC數(shù)據(jù)泄露風(fēng)險(xiǎn)

如xmlrpc.php沒(méi)有正確配置，它可能會(huì)暴露敏感信息，比如文章、頁(yè)面和其他自定義內(nèi)容。

WordPress中的XML-RPC不需要的功能

如果你的網(wǎng)站或應(yīng)用程序并不需要XMLRPC提供的功能，如遠(yuǎn)程發(fā)布、編輯等，那么保留這個(gè)文件就沒(méi)有必要，反而會(huì)增加潛在的安全風(fēng)險(xiǎn)。

刪除xmlrpc.php通常涉及以下幾個(gè)步驟：

1、備份：在刪除任何文件之前，確保備份你的網(wǎng)站，以防萬(wàn)一出現(xiàn)問(wèn)題。

2、檢查依賴：確保沒(méi)有其他插件或功能依賴于xmlrpc.php。

3、刪除文件：從服務(wù)器上直接刪除該文件。

4、確認(rèn)刪除：通過(guò)瀏覽器訪問(wèn)/xmlrpc.php，如果顯示404錯(cuò)誤，說(shuō)明文件已被成功刪除。

5、加強(qiáng)安全：考慮使用.htaccess文件或Web服務(wù)器配置來(lái)阻止對(duì)該文件的訪問(wèn)。

寫(xiě)在最后：

刪除xmlrpc.php可以降低網(wǎng)站的安全風(fēng)險(xiǎn)，提高性能，并減少潛在的數(shù)據(jù)泄露，在刪除之前，務(wù)必確保你的網(wǎng)站或應(yīng)用程序不需要使用XMLRPC的任何功能，并且已經(jīng)進(jìn)行了適當(dāng)?shù)膫浞荨?/p>

問(wèn)題未解決？付費(fèi)解決問(wèn)題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫(xiě)所說(shuō)，是心之所感，思之所悟，行之所得；文當(dāng)無(wú)敷衍，落筆求簡(jiǎn)潔。 以所舍，求所獲；有所依，方所成！