WordPress 始終具有內(nèi)置功能，可讓您與您的網(wǎng)站進(jìn)行遠(yuǎn)程交互。 面對(duì)現(xiàn)實(shí)，有時(shí)您需要訪問(wèn)您的網(wǎng)站，而您的計(jì)算機(jī)不會(huì)在附近的任何地方。 長(zhǎng)期以來(lái)，解決方案是一個(gè)名為 xmlrpc.php 。 但近年來(lái)，該文件更像是一種害蟲(chóng)，而不是一種解決方案。

下面我們將深入探討 xmlrpc.php 的實(shí)際含義以及創(chuàng)建它的原因。 我們還概述了它導(dǎo)致的常見(jiàn)安全問(wèn)題以及如何在您自己的 WordPress 網(wǎng)站上修補(bǔ)它們。

什么是 Xmlrpc.php？

XML-RPC 是 WordPress 的一個(gè)特性，可以傳輸數(shù)據(jù)，HTTP 作為傳輸機(jī)制，XML 作為編碼機(jī)制。 由于 WordPress 不是一個(gè)自封閉的系統(tǒng)，并且偶爾需要與其他系統(tǒng)進(jìn)行通信，因此試圖處理這項(xiàng)工作。

例如，假設(shè)您想通過(guò)移動(dòng)設(shè)備在您的網(wǎng)站上發(fā)帖，因?yàn)槟挠?jì)算機(jī)不在附近。 您可以使用 xmlrpc.php 啟用的遠(yuǎn)程訪問(wèn)功能來(lái)做到這一點(diǎn)。

xmlrpc.php 啟用的核心功能是允許您通過(guò)智能手機(jī)連接到您的站點(diǎn)，實(shí)現(xiàn)來(lái)自其他站點(diǎn)的引用和 pingback，以及與 Jetpack 插件相關(guān)的一些功能。

為什么創(chuàng)建 Xmlrpc.php 以及如何使用它？

XML-RPC 的實(shí)現(xiàn)可以追溯到 WordPress 的早期，甚??至還沒(méi)有成為 WordPress。

回到互聯(lián)網(wǎng)的早期，當(dāng)連接速度非常慢時(shí)，寫(xiě)入和發(fā)布到網(wǎng)絡(luò)的過(guò)程更加困難和耗時(shí)。 大多數(shù)人不是在瀏覽器本身內(nèi)編寫(xiě)，而是離線編寫(xiě)，然后將他們的內(nèi)容復(fù)制并粘貼到網(wǎng)絡(luò)上。 盡管如此，這個(gè)過(guò)程還遠(yuǎn)非理想。

解決方案（當(dāng)時(shí)）是創(chuàng)建一個(gè)離線博客客戶(hù)端，您可以在其中撰寫(xiě)內(nèi)容，然后連接到您的博客以發(fā)布它。 此連接是通過(guò) XML-RPC 完成的。 有了 XML-RPC 的基本框架，早期的應(yīng)用程序使用相同的連接來(lái)允許人們從其他設(shè)備登錄到他們的 WordPress 站點(diǎn)。

現(xiàn)在的 XML-RPC

2008 年的 WordPress 2.6 版本提供了啟用或禁用 XML-RPC 的選項(xiàng)。 但是，隨著 WordPress iPhone 應(yīng)用程序的發(fā)布，默認(rèn)情況下啟用了 XML-RPC 支持，并且沒(méi)有選項(xiàng)可以關(guān)閉該設(shè)置。 直到今天，這仍然是正確的。

然而，隨著時(shí)間的推移，這個(gè)文件的功能已經(jīng)大大減少，文件的整體大小已經(jīng)從 83kb 減少到 3kb，所以它的作用沒(méi)有以前那么大了。

XML-RPC 的未來(lái)

使用新的 WordPress API，我們可以預(yù)期 XML-RPC 將完全被淘汰。 今天，這個(gè)新的 API 仍處于試用階段，只能通過(guò)使用插件來(lái)啟用。

但是，您可以期望 API 將來(lái)會(huì)直接編碼到 WordPress 核心中，這將在很大程度上完全消除對(duì) xmlrpc.php 文件的需要。

新的 API 并不完美，但它為 xmlrpc.php 解決的問(wèn)題提供了更強(qiáng)大和更安全的解決方案。

為什么你應(yīng)該禁用 Xmlrpc.php

XML-RPC 的最大問(wèn)題是出現(xiàn)的安全問(wèn)題。 問(wèn)題不在于 XML-RPC 直接，而是如何使用該文件對(duì)您的站點(diǎn)進(jìn)行暴力攻擊。

當(dāng)然，您可以使用非常強(qiáng)大的密碼和 WordPress 安全插件來(lái)保護(hù)自己。 但是，最好的保護(hù)模式是簡(jiǎn)單地禁用它。

XML-RPC 有兩個(gè)主要弱點(diǎn)，過(guò)去曾被利用過(guò)。

首先是使用蠻力攻擊進(jìn)入您的網(wǎng)站。 攻擊者將嘗試使用各種用戶(hù)名和密碼組合使用 xmlrpc.php 訪問(wèn)您的站點(diǎn)。 他們可以有效地使用單個(gè)命令來(lái)測(cè)試數(shù)百個(gè)不同的密碼。 這使他們能夠繞過(guò)通常檢測(cè)和阻止暴力攻擊的安全工具。

第二個(gè)是通過(guò) DDoS 攻擊使網(wǎng)站脫機(jī)。 黑客會(huì)使用 WordPress 中的 pingback 功能將 pingback 即時(shí)發(fā)送到數(shù)千個(gè)站點(diǎn)。 xmlrpc.php 中的此功能為黑客提供了幾乎無(wú)窮無(wú)盡的 IP 地址來(lái)分發(fā) DDoS 攻擊。

要檢查 XML-RPC 是否在您的站點(diǎn)上運(yùn)行，您可以通過(guò)名為 XML-RPC Validator 的工具運(yùn)行它。 通過(guò)該工具運(yùn)行您的站點(diǎn)，如果您收到錯(cuò)誤消息，則表示您沒(méi)有啟用 XML-RPC。

如果您收到成功消息，則可以使用以下兩種方法之一停止 xmlrpc.php。

方法 1：使用插件禁用 Xmlrpc.php

在您的 WordPress 網(wǎng)站上禁用 XML-RPC 再簡(jiǎn)單不過(guò)了。

導(dǎo)航到 插件 ? 添加新 從 WordPress 儀表板 搜索 Disable XML-RPC 并安裝如下圖所示的插件：

激活插件，一切就緒。 這個(gè)插件會(huì)自動(dòng)插入必要的代碼來(lái)關(guān)閉 XML-RPC。

但是，請(qǐng)記住，某些現(xiàn)有插件可能會(huì)使用部分 XML-RPC，因此完全禁用它可能會(huì)導(dǎo)致插件沖突或站點(diǎn)的某些元素不再起作用。

如果您只想關(guān)閉 XML-RPC 的某些元素，但仍允許某些插件和功能工作，請(qǐng)改用以下插件：

• Stop XML-RPC Attack。 這個(gè)插件將阻止所有 XML-RPC 攻擊，但它會(huì)繼續(xù)允許像 Jetpack 這樣的插件以及其他自動(dòng)工具和插件保留對(duì) xmlrpc.php 文件的訪問(wèn)權(quán)限。
• Control XML-RPC Publishing。 這允許您保留對(duì) xmlrpc.php 提供的遠(yuǎn)程發(fā)布選項(xiàng)的控制和使用。

方法 2：手動(dòng)禁用 Xmlrpc.php

如果您不想使用插件并更喜歡手動(dòng)操作，請(qǐng)遵循此方法。 它將在傳遞到 WordPress 之前停止所有傳入的 xmlrpc.php 請(qǐng)求。

打開(kāi)您的 .htaccess 文件。 您可能必須在文件管理器或 FTP 客戶(hù)端中打開(kāi)“顯示隱藏文件”才能找到該文件。

在您的 .htaccess 文件中，粘貼以下代碼：

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>

重要的！ 將 xxx.xxx.xxx.xxx 更改為您希望允許訪問(wèn) xmlrpc.php 的 IP 地址或完全刪除此行。

結(jié)論

總的來(lái)說(shuō)，XML-RPC 是解決由于遠(yuǎn)程發(fā)布到 WordPress 站點(diǎn)而發(fā)生的一些問(wèn)題的可靠解決方案。 然而，這個(gè)功能帶來(lái)了一些安全漏洞，最終對(duì)一些 WordPress 網(wǎng)站所有者造成了相當(dāng)大的破壞。

為確保您的站點(diǎn)保持安全，最好完全禁用 xmlrpc.php。 除非你需要遠(yuǎn)程發(fā)布和 Jetpack 插件所需的一些功能。 然后，您應(yīng)該使用允許這些功能的解決方法插件，同時(shí)仍然修補(bǔ)安全漏洞。