如何保护WordPress XMLRPC的安全? 时间:2012-01-31 作者:ltfishie XMLRPC非常适合远程发布到WordPress,但也存在许多安全问题。如何使其更安全?更具体地说,只有来自intranet的用户才能通过XMLRPC进行发布。WP目前正在Lighttpd和php5上运行。3. 4 个回复 最合适的回答,由SO网友:EAMann 整理而成 XMLRPC与WordPress的其余部分一样安全。所有请求都需要使用您网站上已有的用户名和密码凭据进行身份验证。这意味着,如果有人登录了您的站点,他们可以使用XMLRPC接口(如果已打开)。但匿名用户无法进入。使用XMLRPC可能面临的唯一潜在安全漏洞是man in the middle attack. 但常规WordPress管理员也面临同样的风险,所以它不是XMLRPC独有的。防止此类问题的最佳方法是在站点上启用SSL安全。您需要SSL证书,然后需要通过访问XMLRPC端点https:// 而不是http://. 这将加密您的请求,并防止任何人拦截它们和窃取您的凭据。您还应该在登录常规站点时启用SSL安全,因为它也面临同样的风险。 SO网友:Fabdmin 我建议将以下代码附加到。htaccess文件<FilesMatch "^(xmlrpc\\.php)"> Order Deny,Allow # IP address Whitelist Allow from xxx.xxx.xxx.xxx Deny from all </FilesMatch> SO网友:sdexp 限制对xmlrpc的访问。php到只需要它的IP范围(例如Jetpack),您可以这样做。<files xmlrpc.php=""> Order Deny,Allow Deny from all Allow from 192.0.64.0/18 Satisfy All ErrorDocument 403 http://127.0.0.1/ </files> 保护xmlrpc。php在web上的讨论似乎普遍不足,但攻击可能意味着DoS攻击。在我看来,这绝对值得讨论,以确保更多的人能够阻止攻击。 SO网友:vinnie 插件Secure XML-RPC 似乎解决了通过网络发送敏感信息的问题。插件说明:我们将使用一组公钥/密钥来散列数据并进行身份验证,而不是在每个请求中以明文形式发送用户名和密码。 结束 文章导航
