如何从Linux命令行完全禁用XML-RPC?

时间:2018-01-23 作者:Arcticooling

我读到了this guide 关于利用SSHguard 为了保护WordPress免受暴力攻击,在以相关方式配置SSHguard后,必须:

通过阻止对/xmlrpc的所有远程访问来禁用XML-RPC。web服务器配置中的php。

我的任何网站都不使用XML-RPC。

我使用Nginx作为我的web服务器。

我不确定完全阻止XML-RPC的最佳方法是什么。每个站点的Nginx conf?每个站点的WP-CLI操作?

通常的做法是什么?

2 个回复
最合适的回答,由SO网友:Nathan Johnson 整理而成

在nginx上,阻止对xmlrpc的访问。php文件,将此位置块添加到配置文件的服务器块:

location ~ ^/(xmlrpc\\.php) {
  deny all;
}

SO网友:BearlyDoug

这里有一个更好的方法在NginX上处理它(以及我的雇主是如何处理的)。这实际上会返回一条“禁止”消息。

location /xmlrpc.php { return 403; }
任何说这不是安全风险的人都不知道Wordpress 4.7.2(可能是4.5x版本)开始出现的黑客行为,因为xmlrpc的使用方式,Wordpress中存在实际的可利用风险。未正确清理php请求。

实际上,任何人都不应该禁用对xmlrpc的访问。php是指他们是否使用Wordpress的Jetpack插件。com。

结束
标签: security   wp-cli   xml-rpc   command-line   ssh   小码农  

相关推荐

如何在WP 4.8.2中启用XML-RPC

如何在版本4.8.2中启用XML?我想启用XML RPC,然后用编程库thx连接到它无法使用连接到xml rpchttps://github.com/abrudtkuhl/WordPressSharp的WordPress库。网