当前位置：首页 > news >正文

WordPress：解决xmlrpc.php被扫描爆破的风险

news 2025/9/15 12:19:40

使用WordPress的朋友都知道，一些【垃圾渣渣】会利用xmlrpc.php文件来进行攻击，绕过WP后台错误登录次数限制进行爆破。虽然密码复杂的极难爆破，但及其占用服务器资源。

方法一、利用宝塔防火墙（收费版）

一般可以直接使用宝塔的防火墙来防护此类攻击。当然宝塔防火墙在官方是收费的。首先，将/xmlrpc.php加入URL黑名单拒绝访问。PS:还有/wp-json也可以加进去。

利用宝塔规则优先级：UA白名单> UA黑名单> URL关键词拦截> IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止境外IP访问 >User-Agent > URI过滤 > URL参数 > Cookie > POST

然后将自己设备UA加入白名单即可，自己设备具体UA可以在网站访问日志里查看。

WordPress：解决xmlrpc.php被扫描爆破的风险

设置好后，除了特定的UA访问，其他访问该文件都是403。

方法二、屏蔽 XML-RPC (pingback)的功能（云站友推荐）

直接屏蔽XML-RPC (pingback)功能也有效的防护攻击。

在你所使用主题的functions.php文件中添加以下代码。（注：现在很多主题都已经集成了该代码）

add_filter('xmlrpc_enabled', '__return_false');

方法三、删除或清空xmlrpc.php文件内容

我们可以直接删除xmlrpc.php文件中的代码。

注意：这里推荐是删除文件中的代码。不要删除整个文件。不然会造成莫名其妙的保存。

方法四、利用配置文件直接拒绝访问或跳转

1、Nginx

location ~* /xmlrpc.php {deny all;
}

或者跳转

location ~* /xmlrpc.php {proxy_pass https://www.wwttl.com;
}

2、apache

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

或者跳转

# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php https://www.wwttl.com
</IfModule>

以上四种方法，比较推荐第二种方法，使用屏蔽 XML-RPC (pingback)的功能！

WordPress：解决xmlrpc.php被扫描爆破的风险

使用WordPress的朋友都知道，一些【垃圾渣渣】会利用xmlrpc.php文件来进行攻击，绕过WP后台错误登录次数限制进行爆破。虽然密码复杂的极难爆破，但及其占用服务器资源。方法一、利用宝塔防火墙（收费版） 一般可以直接使…...

编程日记 2023/12/9 3:10:39

Fiddler抓包模拟器（雷电模拟器）

Fiddler设置 List item 打开fiddler,的options 点击OK,重启fiddler 模拟器更改网络设置 IP可以在电脑上终端上查看然后在模拟器浏览器中输入IP:端口安装证书...

编程日记 2023/12/9 3:09:38

RepidJson将内容写入文件

使用 RapidJSON 将内容写入文件的步骤如下： 创建一个 rapidjson::Document 对象，将需要写入文件的内容存储到其中。创建一个 rapidjson::StringBuffer 对象来保存 JSON 字符串。将 rapidjson::Document 对象转换为 JSON 字符串，并将其放入 r…...

编程日记 2023/12/9 3:08:38

Endnote使用教程

原由最近要进行开题报告，要求不低于60文献的阅读与引用，单独插入引入我觉得是非常繁琐的事情，所以就借助Endnote这个工具，减少我们的工作量。使用方法第一步：先新建一个数据库，这样子可以在这个数据库…...

编程日记 2023/12/9 3:07:37

java中用Thead创建线程和用Runnable创建线程的区别是什么？

在 Java 中，创建线程的两种主要方式是通过继承 Thread 类和通过实现 Runnable 接口。下面是它们之间的主要区别： 1. 继承 Thread 类： class MyThread extends Thread {public void run() {// 线程执行的代码} }// 创建并启动线程 MyThread …...

编程日记 2023/12/9 3:05:34

0013Java程序设计-基于Vue的上课签到系统的设计与实现

文章目录 **摘要**目录系统设计4.2学生签到4.3 签到信息列表4.4 用户信息管理5.1系统登录5.1.1 登录5.1.2 清除用户登记记录5.1.3 登录拦截 5.2用户管理5.2.2 用户添加5.2.3 用户编辑5.2.4 用户删除5.2.5 用户分页 5.3签到信息5.3.1签到信息列表 5.4学生签到5.4.1学生签到开发…...

编程日记 2023/12/9 3:04:33

2.修改列名与列的数据类型

修改字段名与字段数据类型 1.修改字段名有时，在我们建好一张表后会突然发现，哎呀！字段名貌似写错了！怎么办？要删了表再重新建一个新表吗？还是要删了这个字段再新建一个新的字段？ 都不用&…...

编程日记 2023/12/9 3:02:31

[Firefly-Linux] RK3568 Ubuntu固件分区详解

RK为了方便开发与产品定制，自己定义了一套固件的分区，这些分区信息存放在parameter.txt文件中，Firefly参考这个文件定义了自己的Ubuntu分区，文件为parameter-ubuntu.txt，存放于Linux_SDK的device/rockchip/rk356x目录下…...

编程日记 2023/12/9 2:58:28

1.新建一个配置文件夹，放配置类 2.编辑 WebMvcConfig.java package com.southwind.configuration;import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry; import or…...

编程日记 2023/12/9 2:55:24

Qt之面试经验

1.恒生芸擎网络技术没怎么问，一面问对方工作日常会涉及的一些东西（自动发布），二面公司流程，三面其他（没发offer） 2.光珀智能科技涉及AI算法落地，问了点基础问题，比如…...

编程日记 2023/12/9 2:54:23

数据库基础概念与范式反范式总结

文章目录一、基本概念1、属性2、元组3、关系4、超键5、候选键6、主键7、主属性8、外键9、函数依赖完全依赖二、数据库范式1、第一范式（1NF）2、第二范式（2NF）3、第三范式（3NF）4、巴斯-科德范式&#xff08…...

编程日记 2023/12/9 2:53:22

tanstack/react-query使用手册

1. useQuery useQuery的使用一、data是后端成功返回的数据， 第一次的值为undefined 二、isLoading是指数据是否正在加载的状态，通常用于判断请求是否还在进行中。当isLoading为true时，表示数据正在加载中，当isLoading为false时&a…...

编程日记 2023/12/9 2:52:21

camera2对摄像头编码h264

MediaCodec编码摄像头数据前置：保存的一些成员变量 // 摄像头开启的 handler private Handler cameraHandler; // Camera session 会话 handler private Handler sessionHandler; //这里是个Context都行 private AppCompatActivity mActivity; // 这个摄像头所有需…...

编程日记 2023/12/9 2:50:18

Apache solr XXE 漏洞（CVE-2017-12629）

任务一： 复现环境中的漏洞任务二： 利用XXE漏洞发送HTTP请求，在VPS服务器端接受请求，或收到DNS记录任务三： 利用XXE漏洞读取本地的/etc/passwd文件 1.搭建环境 2.开始看wp的时候没有看懂为什么是core，然…...

编程日记 2023/12/9 2:49:17

HTML代码混淆技术：原理、应用和实现方法详解

HTML代码混淆是一种常用的反爬虫技术，它可以有效地防止爬虫对网站数据的抓取。本文将详细介绍HTML代码混淆技术的原理、应用以及实现方法，帮助大家更好地了解和运用这一技术。一、HTML代码混淆的原理 HTML代码混淆是指将HTML源码通过特定的算法进行加…...

编程日记 2023/12/9 2:48:16

quickapp_快应用_系统接口应用

系统接口在项目中使用到的接口都需要在配置文件manifest.json中声明，不然会报如下警告 [WARN] 请在 manifest.json 文件里声明项目代码中用到的接口: system.storage, service.account, system.package, system.webview[1]检查某app是否在手机上安装官方文档&a…...

编程日记 2023/12/9 2:46:14

sqlmap400报错问题解决

python sqlmap.py -r sql.txt --batch --techniqueB --tamperspace2comment --risk 3 --force-ssl–batch 选项全部默认不用再手动输入 –techniqueB 使用布尔盲注，该参数是指出要求使用的注入方式 –tamperspace2comment使用特殊脚本，space2comment是把…...

编程日记 2023/12/9 2:41:11

【S32DS报错】-2-提示Error while launching command:arm-none-eabi-gdb –version错误

目录 1 Error错误提示 2 Error错误原因 3 如何消除Error错误结尾【S32K3_MCAL从入门到精通】合集： S32K3_MCAL从入门到精通https://blog.csdn.net/qfmzhu/category_12519033.html 1 Error错误提示使用S32DSJ-LinK下载程序，在Dedug Configurati…...

编程日记 2023/12/9 2:40:10

Windows核心编程 HOOK

目录 HOOK概述 HOOK API SetWindowsHookExA 函数(winuser.h) UnhookWindowsHookEx 函数(winuser.h) NextHookEx 函数(winuser.h) 局部钩子全局钩子为什么全局钩子需要用dll作为过程函数？ HOOK概述本质：Windows消系统的消息过滤器。全局钩子…...

编程日记 2023/12/9 2:38:08