WordPress 始終具有內(nèi)置功能，可讓您與您的網(wǎng)站進行遠程交互。 面對現(xiàn)實，有時您需要訪問您的網(wǎng)站，而您的計算機不會在附近的任何地方。 長期以來，解決方案是一個名為 xmlrpc.php 。 但近年來，該文件更像是一種害蟲，而不是一種解決方案。

下面我們將深入探討 xmlrpc.php 的實際含義以及創(chuàng)建它的原因。 我們還概述了它導(dǎo)致的常見安全問題以及如何在您自己的 WordPress 網(wǎng)站上修補它們。

什么是 Xmlrpc.php？

XML-RPC 是 WordPress 的一個特性，可以傳輸數(shù)據(jù)，HTTP 作為傳輸機制，XML 作為編碼機制。 由于 WordPress 不是一個自封閉的系統(tǒng)，并且偶爾需要與其他系統(tǒng)進行通信，因此試圖處理這項工作。

例如，假設(shè)您想通過移動設(shè)備在您的網(wǎng)站上發(fā)帖，因為您的計算機不在附近。 您可以使用 xmlrpc.php 啟用的遠程訪問功能來做到這一點。

xmlrpc.php 啟用的核心功能是允許您通過智能手機連接到您的站點，實現(xiàn)來自其他站點的引用和 pingback，以及與 Jetpack 插件相關(guān)的一些功能。

為什么創(chuàng)建 Xmlrpc.php 以及如何使用它？

XML-RPC 的實現(xiàn)可以追溯到 WordPress 的早期，甚??至還沒有成為 WordPress。

回到互聯(lián)網(wǎng)的早期，當(dāng)連接速度非常慢時，寫入和發(fā)布到網(wǎng)絡(luò)的過程更加困難和耗時。 大多數(shù)人不是在瀏覽器本身內(nèi)編寫，而是離線編寫，然后將他們的內(nèi)容復(fù)制并粘貼到網(wǎng)絡(luò)上。 盡管如此，這個過程還遠非理想。

解決方案（當(dāng)時）是創(chuàng)建一個離線博客客戶端，您可以在其中撰寫內(nèi)容，然后連接到您的博客以發(fā)布它。 此連接是通過 XML-RPC 完成的。 有了 XML-RPC 的基本框架，早期的應(yīng)用程序使用相同的連接來允許人們從其他設(shè)備登錄到他們的 WordPress 站點。

現(xiàn)在的 XML-RPC

2008 年的 WordPress 2.6 版本提供了啟用或禁用 XML-RPC 的選項。 但是，隨著 WordPress iPhone 應(yīng)用程序的發(fā)布，默認情況下啟用了 XML-RPC 支持，并且沒有選項可以關(guān)閉該設(shè)置。 直到今天，這仍然是正確的。

然而，隨著時間的推移，這個文件的功能已經(jīng)大大減少，文件的整體大小已經(jīng)從 83kb 減少到 3kb，所以它的作用沒有以前那么大了。

XML-RPC 的未來

使用新的 WordPress API，我們可以預(yù)期 XML-RPC 將完全被淘汰。 今天，這個新的 API 仍處于試用階段，只能通過使用插件來啟用。

但是，您可以期望 API 將來會直接編碼到 WordPress 核心中，這將在很大程度上完全消除對 xmlrpc.php 文件的需要。

新的 API 并不完美，但它為 xmlrpc.php 解決的問題提供了更強大和更安全的解決方案。

為什么你應(yīng)該禁用 Xmlrpc.php

XML-RPC 的最大問題是出現(xiàn)的安全問題。 問題不在于 XML-RPC 直接，而是如何使用該文件對您的站點進行暴力攻擊。

當(dāng)然，您可以使用非常強大的密碼和 WordPress 安全插件來保護自己。 但是，最好的保護模式是簡單地禁用它。

XML-RPC 有兩個主要弱點，過去曾被利用過。

首先是使用蠻力攻擊進入您的網(wǎng)站。 攻擊者將嘗試使用各種用戶名和密碼組合使用 xmlrpc.php 訪問您的站點。 他們可以有效地使用單個命令來測試數(shù)百個不同的密碼。 這使他們能夠繞過通常檢測和阻止暴力攻擊的安全工具。

第二個是通過 DDoS 攻擊使網(wǎng)站脫機。 黑客會使用 WordPress 中的 pingback 功能將 pingback 即時發(fā)送到數(shù)千個站點。 xmlrpc.php 中的此功能為黑客提供了幾乎無窮無盡的 IP 地址來分發(fā) DDoS 攻擊。

要檢查 XML-RPC 是否在您的站點上運行，您可以通過名為 XML-RPC Validator 的工具運行它。 通過該工具運行您的站點，如果您收到錯誤消息，則表示您沒有啟用 XML-RPC。

如果您收到成功消息，則可以使用以下兩種方法之一停止 xmlrpc.php。

方法 1：使用插件禁用 Xmlrpc.php

在您的 WordPress 網(wǎng)站上禁用 XML-RPC 再簡單不過了。

導(dǎo)航到 插件 ? 添加新 從 WordPress 儀表板 搜索 Disable XML-RPC 并安裝如下圖所示的插件：

激活插件，一切就緒。 這個插件會自動插入必要的代碼來關(guān)閉 XML-RPC。

但是，請記住，某些現(xiàn)有插件可能會使用部分 XML-RPC，因此完全禁用它可能會導(dǎo)致插件沖突或站點的某些元素不再起作用。

如果您只想關(guān)閉 XML-RPC 的某些元素，但仍允許某些插件和功能工作，請改用以下插件：

• Stop XML-RPC Attack。 這個插件將阻止所有 XML-RPC 攻擊，但它會繼續(xù)允許像 Jetpack 這樣的插件以及其他自動工具和插件保留對 xmlrpc.php 文件的訪問權(quán)限。
• Control XML-RPC Publishing。 這允許您保留對 xmlrpc.php 提供的遠程發(fā)布選項的控制和使用。

方法 2：手動禁用 Xmlrpc.php

如果您不想使用插件并更喜歡手動操作，請遵循此方法。 它將在傳遞到 WordPress 之前停止所有傳入的 xmlrpc.php 請求。

打開您的 .htaccess 文件。 您可能必須在文件管理器或 FTP 客戶端中打開“顯示隱藏文件”才能找到該文件。

在您的 .htaccess 文件中，粘貼以下代碼：

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>

重要的！ 將 xxx.xxx.xxx.xxx 更改為您希望允許訪問 xmlrpc.php 的 IP 地址或完全刪除此行。

結(jié)論

總的來說，XML-RPC 是解決由于遠程發(fā)布到 WordPress 站點而發(fā)生的一些問題的可靠解決方案。 然而，這個功能帶來了一些安全漏洞，最終對一些 WordPress 網(wǎng)站所有者造成了相當(dāng)大的破壞。

為確保您的站點保持安全，最好完全禁用 xmlrpc.php。 除非你需要遠程發(fā)布和 Jetpack 插件所需的一些功能。 然后，您應(yīng)該使用允許這些功能的解決方法插件，同時仍然修補安全漏洞。