禁用WordPress的XML-RPC功能可提升安全性。通过在functions.php添加add_filter(‘xmlrpc_enabled’, ‘__return_false’);可直接关闭;Apache服务器可通过.htaccess屏蔽访问;安全插件如Wordfence提供一键关闭选项;使用curl命令测试返回403或404即成功。建议无需远程发布的站点关闭该功能以减少攻击面。

WordPress如何禁用XML-RPC接口以提高安全性-1

WordPress的XML-RPC接口虽然为远程发布和第三方应用提供了便利,但也常被黑客利用进行暴力破解和DDoS攻击。禁用该功能可以有效提升站点安全性。

通过代码禁用XML-RPC

在当前主题的functions.php文件中添加以下代码,可直接关闭XML-RPC功能:


add_filter(‘xmlrpc_enabled’, ‘__return_false’);

保存后,系统将不再响应任何XML-RPC请求。这是最简单且广泛使用的方法。

通过.htaccess屏蔽访问

如果你使用的是Apache服务器,可以通过修改网站根目录下的.htaccess文件来阻止对xmlrpc.php的访问:


<Files “xmlrpc.php”>
Order Allow,Deny
Deny from all
</Files>

这样即使文件存在,外部也无法访问,能有效防止恶意请求。

使用安全插件管理

部分安全类插件如Wordfence、iThemes Security等提供一键禁用XML-RPC的选项。进入插件设置页面,在“防暴力破解”或“API设置”中找到相关开关即可关闭。

这种方法适合不熟悉代码操作的用户,同时还能获得额外的安全监控。

确认是否已成功禁用

可通过在线工具或命令行测试接口是否仍可访问。例如使用curl命令:


curl -I -X POST http://yoursite.com/xmlrpc.php

如果返回403或404状态码,说明禁用成功。

基本上就这些。选择其中一种方式即可有效关闭XML-RPC,减少潜在攻击面。尤其对不需要远程发布功能的站点来说,建议关闭以增强安全性。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。