最近一直在被攻击,今天发现还换了新的花样,直接访问我的xmlrpc.php文件进行暴力破解起来了,那好啊,我直接清空了文件内容,返回给你个空的,继续来玩!
为什么我敢直接清空这个文件呢?
可能很多WordPress用户都不知道这个xmlrpc.php是什么,简单地说就是Wordpress 为手机等客户端提供的接口文件,早期的Wordpress 这个接口简直就是万恶之源,虽然经过多次的升级,但目前也不太安全,恶意程序会不断尝试扫描这个文件,造成主机资源耗尽而瘫痪。
其实为了防止DDOS攻击暴力破解,而你的wordpress网站恰好又不链接小程序、不离线发表文章,直接删除WordPress根目录的xmlrpc.php文件是不错的选择,或者稳妥点可以清空里面的内容,保留一个空文件,不会影响正常的WordPress运行。
网上一些禁用xmlrpc功能的代码,只是禁用,并不能阻止扫描这个文件,还有每次更新完WP程序,记得手动删除一下。