什么是XML-RPC?WordPress中的Xmlrpc如何禁用

什么是XML-RPC?WordPress中的Xmlrpc如何禁用

  什么是XML-RPC?WordPress中的Xmlrpc如何禁用

  XML-RPC是WordPress等CMS一直具有的内置功能,可让您与WordPress站点进行远程交互。假如您需要访问网站且身边没有电脑,那么就可以使用一个名为xmlrpc.php的文件来解决这个问题,但是近年来,该文件更多的是坏处,损害您的站点,而不是解决问题的。

  每个WordPress安装包都有xmlrpc.php文件。通过此文件的XML-RPC功能,WordPress可以接收和发送XML-RPC信号并与外部程序通信。

什么是XML-RPC

  XML-RPC是一种远程远程过程调用协议,是用于通过网络在计算机之间交换信息的最简单的基于XML的协议。XML-RPC允许运行在不同操作系统和不同环境中的两个应用程序通过Web(通过HTTP)相互通信。

  许多Web应用程序都使用XML-RPC,例如WordPress主题建站,Drupal等。

  启用xmlrpc.php的核心功能是允许您通过智能手机连接到您的站点,实现其他站点的引用和pingback以及与Jetpack插件的某些功能。

为什么创建Xmlrpc.php以及如何使用它?

  XML-RPC的实现可以追溯到WordPress的早期,早在Internet初期,当连接速度非常慢,编写和发布到Web的过程就变得相当困难。所以当时的多数人不是在浏览器中编写内容,而是离线编写内容,然后将其内容复制并粘贴到网络上。但是,此过程仍不理想。

  早期的XML-RPC:当时给出的解决方案是创建脱离博客的客户端,在其中编写内容,然后连接到博客进行发布。该连接是通过XML-RPC完成的。有了XML-RPC的基本框架,早期的应用程序使用了相同的连接,使人们可以从其他设备登录WordPress网站。

  如今的XML-RPC:在2008年的WordPress 2.6版中,有一个启用或禁用XML-RPC的选项。但是,随着WordPress iPhone应用程序的发布,默认情况下启用了XML-RPC支持,并且没有关闭该设置的选项。该文件的功能已大大降低,作用不像以前那样大。

  XML-RPC的未来:借助新的WordPress API,XML-RPC在未来可被完全淘汰,但新的API并不是完美的,也为xmlrpc.php解决的问题提供安全的解决方案。

如何在WordPress中禁用XML-RPC

  实际上,xmlrpc.php会带来安全风险。可能使站点容易受到外部攻击。每次对XML-RPC进行身份验证时,都需要提供用户名和密码,这对于安全性而言不是很重要。

  通过禁用XML-RPC,您可以关闭潜在的风险。

  首先是使用暴力攻击进入您的网站。攻击者将尝试通过使用各种用户名和密码组合使用xmlrpc.php访问您的站点。

  第二个是通过DDoS攻击使站点脱机。WordPress中的pingback功能为黑客提供了近乎无休止的IP地址,以分发DDoS攻击。

  可使用以下两种方法之停止xmlrpc.php。

方法1、使用插件禁用

  在WordPress网站上禁用XML-RPC并非易事。

  只需 从WordPress仪表板中导航至“ 插件 》安装插件”。搜索“Disable XML-RPC”并安装如下图所示的插件:

WordPress网站上禁用XML-RPC

  该插件将自动插入必要的代码以关闭XML-RPC。

  某些wordpress插件可能会使用XML-RPC的某些部分,因此,完全禁用它可能会导致插件冲突或您网站的某些元素不再起作用。

  如果您只想关闭XML-RPC的某些元素,但仍允许某些插件和功能正常工作,请改用以下插件:

方法2、手动禁用Xmlrpc.php

  使用.htaccess禁用XML-RPC

  要使用.htaccess禁用WordPress中的xmlrpc.php功能,转到WordPress网站的根目录,打开.htaccess文件并添加以下代码:

  # Block WordPress xmlrpc.php requests
  <Files xmlrpc.php>
  order deny,allow
  deny from all
  allow from xxx.xxx.xxx.xxx
  </Files>

  如果您要允许访问xmlrpc.php的特定IP地址,则可以在上面的代码段中替换123.123.123.123。否则,可以完全删除此行。

  注意:如果您的网站上有.htaccess文件,但您看不到它,请访问设置并单击“显示隐藏的文件”。

  现在,除了您选择的特定用户外,所有人都将无法远程使用xmlrpc.php。

总结

  总体而言,XML-RPC是解决由于远程发布到WordPress网站而引起的某些问题的解决方案。但是此功能带来了一些安全漏洞,最终对某些WordPress网站所有者造成了相当大的损害。

  为了确保您的网站安全,最好完全禁用xmlrpc.php。除非您需要远程发布。

0/5 (0 Reviews)

Leave a Comment

Your email address will not be published. Required fields are marked *


Scroll to Top