正文索引 [隐藏]

xmlrpc攻击

  不知什么情况,这几天可能有大佬看上我这小破站,阿里数次提示我“因过度消耗资源暂时无法访问”,造成网站瘫痪。想了想这些天没有频繁更新文章,没道理会过度消耗资源。看了下日志,竟然有人在频繁地访问 xmlrpc.php 文件。清楚了原因开始谷歌,目前一共搜索到有以下四种解决方案。

解决方案

  第一种是屏蔽 XML-RPC (pingback) 的功能,在主题函数模板 functions.php 中添加一下代码屏蔽:

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

  第二种是通过.htaccess 屏蔽 xmlrpc.php 文件的访问:

# protect xmlrpc <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

  第三种同样修改.htaccess 文件,访问 xmlrpc.php 文件时,转跳到不存在或指定页面,降低网站负担:

# protect xmlrpc <IfModule mod_alias.c> Redirect 301 /xmlrpc.php http://example.com/custom-page.php </IfModule>

  第四种最彻底:为防止有人通过访问 xmlrpc.php 进行 DDOS 攻击,直接删除网站根目录的 xmlrpc.php 文件,保险点的操作是清空里面的内容,留一个空文件,不会影响 WordPress 的正常运行。