自 2008 年以来您值得信赖的虚拟主机合作伙伴。立即获取 VPS!
支持   +373 79 600002
Chinese Flag 中文 (中国)
登录 注册
Support   +373 79 600002
15%

Alexhost 满足您的愿望

参与调查 并赢得奖品

MERRY15
开始使用
10.10.2024
No categories

如何启用和禁用WordPress中的XMLRPC.PHP

xmlrpc.php 是一个在 WordPress 中的文件,它允许远程访问您的网站。它允许外部应用程序,如移动应用程序、第三方工具和回调,与你的 WordPress 网站进行交互。虽然这个功能可能很有用,但它也带来了安全风险,这就是为什么许多 WordPress 网站所有者在不需要时选择禁用 xmlrpc.php 的原因。

本指南将引导您了解什么是 xmlrpc.php,您为什么可能想要启用或禁用它,以及如何安全地做到这一点。

WordPress 中的 xmlrpc.php 是什么?

  • xmlrpc.php 是一个核心 WordPress 文件,允许通过 XML-RPC 协议远程访问您的网站。
  • 它用于执行以下操作:
    • 从远程应用程序发布帖子。
    • 远程管理评论。
    • 启用回调和跟踪。
    • 将移动设备上的 WordPress 应用程序连接到您的网站。
  • 示例用例:
    • 从 WordPress 移动应用程序发布帖子。
    • Jetpack 插件使用 xmlrpc.php 来实现其某些功能。
    • 集成使用 XML-RPC 进行数据传输的第三方服务。

为什么您应该禁用 xmlrpc.php?

xmlrpc.php 可能会带来安全风险,这就是为什么许多网站所有者选择禁用它,尤其是当他们不使用依赖于它的功能时。

与 xmlrpc.php 相关的常见安全风险:

  1. 暴力破解攻击:
    • 攻击者可以使用 xmlrpc.php 通过多次尝试用户名和密码来执行暴力破解攻击。
    • 使用 xmlrpc.php 可以更有效地完成此操作,因为单个请求可以尝试多个登录尝试。
  2. DDoS 攻击:
    • xmlrpc.php 可以用于分布式拒绝服务 (DDoS) 攻击,通过回调请求淹没网站,导致资源耗尽和停机。
  3. 利用回调:
    • 恶意行为者可以利用 xmlrpc.php 中的回调功能来放大 DDoS 攻击或生成大量垃圾邮件。

您何时应该启用 xmlrpc.php?

  • 如果您需要从 WordPress 移动应用程序发布帖子,您应该保持 xmlrpc.php 启用。
  • 如果您使用依赖于 XML-RPC 的插件或工具,例如 Jetpack。
  • 如果您需要通过外部服务进行远程发布功能。

如果您不需要这些功能,禁用 xmlrpc.php 更安全,以最小化安全风险。

如何在 WordPress 中禁用 xmlrpc.php

方法 1:使用插件禁用 xmlrpc.php(推荐)

使用插件是禁用 xmlrpc.php 的最简单方法,而无需触及任何代码。

步骤 1:安装插件

  • 安装一个安全插件,如 Disable XML-RPC-API 或 All In One WP Security & Firewall。
  • 您可以通过在 WordPress 仪表板中转到插件 > 添加新,搜索插件,然后点击立即安装,再点击激活来完成此操作。

步骤 2:配置插件

  • 如果使用 Disable XML-RPC-API:
    • 激活插件后,xmlrpc.php 将自动禁用。
  • 如果使用 All In One WP Security & Firewall:
    • 转到 WP 安全 > 防火墙。
    • 找到 XML-RPC 部分并禁用 XML-RPC 选项。

方法 2:使用 .htaccess 禁用 xmlrpc.php(高级)

如果您对编辑 .htaccess 文件感到舒适,您可以直接在服务器级别阻止对 xmlrpc.php 的访问。

步骤 1:编辑 .htaccess 文件

  1. 通过 FTP 或您主机的文件管理器(通常命名为 public_html)访问您的 WordPress 根目录。
  2. 打开 .htaccess 文件进行编辑。
  3. 在 .htaccess 文件的末尾添加以下代码:
    # 阻止对 xmlrpc.php 的所有访问 <Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
  4. 保存更改并将更新后的 .htaccess 文件上传回您的服务器。

结果:

  • 此代码阻止任何外部访问 xmlrpc.php,有效地禁用它。

方法 3:使用 Functions.php 禁用 xmlrpc.php(自定义代码)

您还可以通过主题的 functions.php 文件禁用 XML-RPC。

步骤 1:编辑 functions.php

  1. 在 WordPress 仪表板中转到外观 > 主题编辑器。
  2. 从右侧边栏选择 functions.php 文件。
  3. 添加以下代码:
    // 禁用 XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  4. 点击更新文件以保存更改。

结果:

  • 此代码将禁用 WordPress 中的 XML-RPC 功能。

方法 4:使用您的主机的安全设置

一些主机提供通过其控制面板禁用 XML-RPC 的选项:

  • 登录到您的网络托管帐户。
  • 查找与 WordPress 安全或应用程序设置相关的选项。
  • 如果可用,通过安全面板禁用 XML-RPC 访问。

如何在 WordPress 中启用 xmlrpc.php

如果您之前禁用了 xmlrpc.php 并需要重新启用它,只需反转禁用它时使用的步骤:

  • 如果您使用了像 Disable XML-RPC-API 的插件,请停用或卸载该插件。
  • 如果您在 .htaccess 或 functions.php 中添加了代码,请删除该代码并保存更改。
  • 如果您通过您的主机禁用了 XML-RPC,请使用主机控制面板重新启用 XML-RPC 访问。

总结

在 WordPress 中,xmlrpc.php 文件允许您的网站与外部应用程序或服务之间进行远程访问和交互。这对于移动应用发布或连接第三方工具等功能非常方便。然而,由于它为您的网站创建了额外的入口点,它通常成为暴力破解尝试、垃圾邮件甚至 DDoS 攻击的目标。

为了最小化这些风险,许多网站所有者选择禁用 xmlrpc.php,尤其是在他们不主动使用其功能时。这可以通过不同的方法实现,例如安装专用的安全插件、向 .htaccess 文件添加规则或修改主题中的 functions.php 文件。每种方法都让您控制是否允许远程访问,并有助于增强您网站的整体安全性。

例如,通过在针对 xmlrpc.php 的 .htaccess 指令中添加像 deny from all 这样的简单行,您可以立即阻止对该文件的外部访问。如果在某个时候您需要远程发布或应用集成,可以轻松地撤销更改。通过了解何时启用或禁用 xmlrpc.php,您可以确保您的 WordPress 网站保持安全,而不牺牲您实际需要的功能。

15%

Alexhost 满足您的愿望

参与调查 并赢得奖品

MERRY15
开始使用

Похожие записи не найдены.