WordPress 最大安全隐患,xmlrpc.php

什么是 XML-RPC
首先要明白什么是 XML-RPC,它的全称是 XML Remote Procedure Call,即 XML 远程过程调用,它是一套允许运行在不同操作系统、不同环境的程序实现基于网络过程调用的规范和一系列的实现。

简单说 RPC 就是通过像本地服务一样远程调用另外一台服务器上的服务来完成需求,XML-RPC 就是使用 XML 作为编码格式的 RPC。

XML-RPC 使用 http 作为传输协议,XML 作为传送信息的编码格式,一个 XML-RPC 消息就是一个请求体为 XML 的 http-post 请求,被调用的方法在服务器端执行并将执行结果以 XML 格式编码后返回。

一个 XML-RPC 协议包括两部分:

  • RPC client,用来向 RPC 服务端调用方法,并接收方法的返回数据。
  • RPC server,用于响应 RPC 客户端的请求,执行方法,并回送方法执行结果。

WordPress 源代码( xmlrpc.php 文件)中已经包含了完整的 RPC 服务端代码,它支持对文章,媒体,评论,分类,选项等等各方面数据的管理。

换句话说,只要懂 XML-RPC 协议,就可以使用 XML-RPC 对 WordPress 博客的各个方面进行操作,也就是说可以使用 XML-RPC 做 WordPress 的客户端。

XML-RPC 安全隐患

XML-RPC 那么好用,也造成了一定的安全隐患,主要是给攻击者提供了便利,所以攻击者的一项工作就是扫描 xmlrpc.php 文件,以便可以实现:

1. XML-RPC pingbacks 攻击,攻击者可以利用 XML-RPC 的 pingbacks 方法对 WordPress 实行 DDoS (分布式拒绝服务)攻击,如果你使用了 CDN 服务商的 DNS 保护服务,攻击者还可以使用 pingbacks 方法获取站点的真实 IP,剩下不用我说了吧。😂

2. 即使 WordPress 设置了登录次数限制,但是使用 XML-RPC 暴力破解 WordPress 的账号密码却逃过了限制,并且 XML-RPC 一次请求就可以执行上百次密码的暴力破解。😓

彻底屏蔽 XML-RPC

既然存在这些问题,那么最好关闭 WordPress 的 XML-RPC 服务,群里面有些小伙伴建议直接删除 xmlrpc.php 文件就好了,但是删除了,下次 WordPress 升级之后又会出现,不太建议这么做。

最快的方法,只需在当前主题的 functions.php 文件添加下面这行代码就能关闭它:

add_filter('xmlrpc_enabled', '__return_false');

使用 PHP 代码或者插件方式关闭,xmlrpc.php 文件被扫描的时候,整个 WordPress 代码还是会被加载,所以如果浪费服务器资源在这上面,可以使用下面方式屏蔽服务器上 xmlrpc.php 文件的请求:

1. Apache 可以通过在 .htaccess 文件前面添加以下代码:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

2. nginx 服务器可以添加下面的规则:

location ~* ^/xmlrpc.php$ {
return 403;
}

3. 如果以上两个方式都不好用,还可以在 WordPress 的 wp-config.php 文件最开始的地方添加:

if(strpos($_SERVER['REQUEST_URI'], 'xmlrpc.php') !== false){
    $protocol   = $_SERVER['SERVER_PROTOCOL'] ?? '';

    if(!in_array($protocol, ['HTTP/1.1', 'HTTP/2', 'HTTP/2.0', 'HTTP/3'], true)){
        $protocol   = 'HTTP/1.0';
    }

    header("$protocol 403 Forbidden", true, 403);
    die;
}

本文摘自网络,不代表短经典网立场 https://www.duanjingdian.com/338.html

上一篇 2024 年 4 月 28 日 下午11:30
下一篇 2024 年 5 月 4 日 下午4:16

相关推荐

  • 怎样使用wordpress中的query posts函数?

    在WordPress开发中,query_posts() 是一个经常被用来从数据库检索自定义文章列表的函数,虽然这个函数很强大,但自WordPress 3.1版本起,官方建议使用 W…

    WordPress 2024 年 4 月 19 日
    244
  • wordpress怎么实现文章分页?

    方法一:使用内置分页功能 1、撰写长文章: 你需要一篇足够长的文章来需要分页,如果文章内容不足以跨越多个页面,分页选项将不会显示。 2、分页选项: 在编辑文章时,查找文本编辑器工具…

    WordPress 2024 年 4 月 19 日
    284
  • wordpress怎么做多级分类

    wordpress怎么做多级分类 1、登录到WordPress后台: 打开您的浏览器,输入您的网站URL,然后添加/wpadmin/到末尾,以访问WordPress后台。 输入您的…

    WordPress 2024 年 4 月 23 日
    243
  • WordPress隐藏指定页面

    要在WordPress主题中隐藏后台页面中的特定页面,您可以使用以下方法之一: 使用CSS隐藏页面: 您可以通过向后台页面添加自定义CSS来隐藏特定页面。首先,在您的主题文件夹中的…

    WordPress 2024 年 4 月 22 日
    230
  • WordPress调用栏目列表的函数

    默认情况下,WordPress会使用一个简单的列表来显示栏目及其文章,你可以通过自定义栏目列表模板来改变其外观和布局,要自定义栏目列表模板,你需要编辑主题的函数文件,在你的Word…

    WordPress 2024 年 4 月 28 日
    257
  • WordPress分类栏目怎么让置顶文章显示在最前面

    如何将分类栏目里的置顶文章显示在最前面呢?然后再显示新发布的文章。怎么实现在调用最新文章列表中置顶文章靠前显示呢?代码如下: <?php $sticky = get_opti…

    WordPress 2024 年 5 月 30 日
    249
  • WordPress 发现 XSS 漏洞 – 建议更新至 6.5.2

    WordPress 宣布了 6.5.2 维护和安全版本更新,该更新修补了一个商店跨站脚本漏洞,并修复了核心和块编辑器中的十几个错误。 同样的漏洞会影响 WordPress 核心和 …

    2024 年 4 月 11 日
    490
  • WordPress根目录下的xmlrpc.php可以删除吗?

    可能很多朋友不知道这个xmlrpc.php是什么,简单地说就是Wordpress 为手机等客户端提供的接口文件,早期的Wordpress 这个接口就是个万恶之源,虽然经过多次的升级…

    WordPress 2024 年 4 月 26 日
    195
  • 如何让WordPress支持注册用户上传自定义头像?

    1. 安装并启用Gravatar插件 Gravatar是一个全球公认的头像服务,允许用户在多个网站上使用同一个头像,WordPress默认支持Gravatar,但您需要确保已经安装…

    WordPress 2024 年 4 月 19 日
    235
  • WordPress升级报错:Briefly unavailable for scheduled maintenance

    WordPress升级报错:Briefly unavailable for scheduled maintenance 在WordPress进行自动更新或手动升级过程中,系统会创建…

    WordPress 2024 年 4 月 17 日
    239