对于WordPress网站,伴随着暴力登录攻击,最常见的攻击类型之一是XMLRPC.php文件,它可能导致你的网站停机。
XMLRPC文件是用来允许远程连接到WordPress的,当你使用Android或iOS应用程序来管理你的网站时,它是最常用的。 它也常用于JetPack插件中的功能。 如果你不在你的网站上使用这两种功能,那么禁用它不会有什么危害。 这可以通过在xmprpc.php文件中的php代码顶部添加一个简单的 "die(); "命令来实现,但是当WordPress更新时,这将被覆盖。
为了避免每次执行WordPress升级时都要添加这段代码,如果你使用的是基于cPanel的主机环境,我有以下的解决方案供你参考。
1.创建一个404.txt文件
在你的网站的public_html目录下,创建一个名为404.txt 的文件,这个文件可以是空的,也可以包含一些纯文本,如 "404 File Not Found"。
2.2.在你的网站.htaccess文件的顶部添加一个重定向到该文件。
在你的.htaccess文件的顶部添加以下文字,请确保将exampledomain.com替换为你的实际域名。
RewriteEngine On
RewriteCond %{THE_REQUEST} xmlrpc.php [NC]
RewriteRule (.*) https://exampledomain.com/404.txt [R=301,L]
这段代码将把任何对xmlrpc.php文件的请求重定向到你的文本文件,并停止对该文件的请求进行任何PHP处理。 无论你的网站是安装在一个子目录下还是在网站的文档根目录下,它都能发挥作用。
希望这对你的帮助和对我的帮助一样大。
