使用新的阻止 XML-RPC 工具自动增强 WordPress 网站的托管安全性

fabiha01

如果您觉得无需动手就能为您的客户的 WordPress 网站提供坚不可摧的托管安全性听起来很棒，那么您一定会喜欢Block XML-RPC ……这是我们抵御 XML-RPC 攻击的最新武器！

WPMU DEV 的块 XML-RPC
阻止 XML-RPC...了解它对我意味着什么！
自 WordPress 诞生以来，它就允许用户使用名为 XML-RPC 的内置功能与其网站进行远程交互。这不仅对想要随时随地写博客的智能手机用户来说很棒……对黑客来说也同样适用！

在本文中，我们将介绍您需要了解的有关 XML-RPC 的所有信息，并向您展示如何使用我们最新的托管安全工具轻松自动地保护使用 WPMU DEV 托管的 WordPress 网站免受黑客利用 XML-RPC 漏洞的攻击。

我们还将向您展示如何保护托管在其他地方的 WordPress 网站。

继续阅读或点击下面的链接跳过基础知识并获取精彩内容：

基础知识：

什么是 XML-RPC？
XML-RPC 用于什么？
XML-RPC 和 WordPress 安全性
好东西：

使用 WPMU DEV 的 Block XML-RPC 工具实现主机安全自动化
还没有使用 WPMU DEV 托管？我们已为您准备好
让我们直接开始吧……

什么是 XML-RPC？
XML-RPC 是一种远程过程调用 (RPC) 协议，它使用 XML 对其调用进行编码并使用 HTTP 作为传输机制。

简单来说，XML-RPC 用于使外部应用程序能够与您的 WordPress 网站进行交互。这包括远程发布内容、获取帖子和管理评论等操作，而无需使用 WordPress Web 界面。

WordPress 通过一个名为 的文件支持 XML-RPC xmlrpc.php，该文件可以在每个 WordPress 安装的根目录中找到。事实上，早在 WordPress 正式成为 WordPress 之前，WordPress 对 XML-RPC 的支持就已经是 WordPress 的一部分了。

xmlrpc.php 文件
每次安装 WP 时都会发现 xmlrpc.php 文件。
您可以在这篇文章中了解有关 XML-RPC 和 WordPress 的更多信息：XML-RPC 以及为什么为了 WordPress 安全应该删除它。

XML-RPC 用于什么？
如果您需要访问您的 WordPress 网站，但又不在计算机附近，XML-RPC 可以促进远程内容管理和与第三方应用程序的集成，并简化管理 WordPress 网站的过程，而无需直接访问管理仪表板。

WordPress 用户可以从以下领域使用 XML-RPC 中受益：

移动博客：使用WordPress 移动应用程序或其他移动应用程序远程发布帖子、编辑页面和上传媒体文件。
与桌面博客客户端集成：Windows Live Writer或MarsEdit等应用程序允许用户从桌面编写和发布内容。
与服务集成：与IFTTT等服务建立连接
远程管理工具：从单个仪表板管理多个 WordPress 网站。
其他网站用来引用您的网站的Trackback 和 Pingback 。
尽管 XML-RPC 逐渐被基于REST或 GraphQL等标准构建的更新、更高效、更安全的 API 所取代，并且从 8.0 版本开始不再受 PHP 支持，但它仍然在 WordPress 中广泛使用，因为它已集成到许多现有系统中。

XML-RPC 和 WordPress 安全性
如果您正在使用 WordPress 移动应用，想要连接到 IFTTT 等服务，或者想要远程访问和发布博客，则需要启用 XML-RPC。否则，它只会成为黑客攻击和利用的另一个入口。

使用 XML-RPC 的优缺点
使用XML-RPC的优点主要是方便、高效。

虽然大多数应用程序可以使用 WordPress API 而不是 XML-RPC，爱尔兰商业传真列表 但有些应用程序可能仍然需要访问 xmlrpc.php 并使用它来确保与主动安装的旧版本的向后兼容性。

然而，了解使用 XML-RPC 的缺点非常重要。

基本上，XML-RPC 是一种具有固有安全漏洞的过时协议。

这些包括：

安全风险：XML-RPC 允许无限次登录尝试，因此可能被利用进行大规模暴力破解攻击。攻击者已利用 XML-RPC 功能对 WordPress 网站进行大规模暴力破解攻击。通过利用system.multicall 方法，攻击者只需一次请求即可测试数千种密码组合。
性能：XML-RPC 可以通过 pingback 功能成为 DDoS 攻击的载体，将毫无戒心的 WordPress 网站变成针对目标域的机器人，并可能减慢或导致网站崩溃。
如何检查 WordPress 网站上的 XML-RPC 是否启用/禁用
您可以使用XML-RPC 验证工具来检查您的 WordPress 网站是否启用或禁用了 XML-RPC。

WordPress XML-RPC 验证服务工具
像xmlrpc.blog这样的验证工具可以让您轻松检查您的网站是否启用了 XML-RPC。
在地址字段中输入您的 URL，然后单击检查按钮。

如果启用了 XML-RPC，您将看到如下所示的消息。

XML-RPC 验证工具。
此站点已启用 XML-RPC。
如上所述，XML-RPC 会使 WordPress 网站容易受到垃圾邮件和网络攻击。

这就是为什么最好的托管公司默认阻止 XML-RPC，以及为什么我们建议您在 WordPress 网站上禁用 XML-RPC，除非您安装了需要启用它的应用程序。

那么，让我们来看看您可以用来自动禁用网站上的 XML-RPC 的几个选项（请参阅此帖子，了解涉及向.htaccess 文件添加代码的手动方法）。