美好的明天

作为一个网站的管理员，时时刻刻为了网站操碎了心，为了网站的功能网站的内容没日没夜的完善着，但是总有些无法控制而又无可奈何的事情。

辛辛苦苦写的文章，眼看着搜索引擎收录了，网站又打不开了，查询服务器的状态 CPU 100% 满负荷运载，重启 Apache 以为问题就能解决，可是没过几分钟，又是 100% 了，查看网站防护日志，原来有个 IP 不停的访问 xmlrpc.php 文件，造成服务器瘫痪，也就是说对方在放大型暴力猜解攻击，应该是传说中的 xmlrpc 暴力破解密码导致，而 WordPress 默认是将 xmlrpc 功能开启的，这被用来 DDOS 攻击导致占用资源过高，服务器卡死宕机。

直接将这个 IP 加入访问黑名单，但是我发现又有几个 IP 在访问 xmlrpc.php 文件，这似乎有点治标不治本，就我个人而言，我几乎是不使用 xmlrpc 功能。

解决方法

方法一：屏蔽 XML-RPC (pingback) 的功能

将如下代码添加到当前主题函数模板 functions.php 中：

// 屏蔽 XML-RPC (pingback) 的功能
add_filter('xmlrpc_enabled', '__return_false');

目前不推荐使用此方式

方法二：通过 .htaccess 屏蔽 xmlrpc.php 文件的访问

# 屏蔽 xmlrpc.php
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

推荐使用

方法三：修改 .htaccess 文件加跳转

此方法为方法二的升级版，如果有用户访问 xmlrpc.php 文件，然后让其跳转到其他不存在或者存在的其他页面，降低自身网站的负担。

# 屏蔽 xmlrpc.php
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php https://w3.wmviv.com/hotlink-protection
</IfModule>

推荐使用，复制后注意将网址替换为自己的网址

总结

• 不建议直接删除 xmlrpc.php，否则它会让你的 WordPress 网站发生莫名的错误。
• 建议采用方法二、方法三
• 其实扫描，http 的 DDOS 攻击，CC攻击都是大量消耗服务器资源，我们的服务器都是累死的。
• 建议把WordPress升级到最新版本，还是要相信新版本漏洞少一点。
• 一般这个功能是用不到的，我们直接屏蔽掉，默认当前的WP版本是开启的。

这样，我们就可以解决 WordPress 被利用 xmlrpc.php 暴力破解攻击问题。有些时候并不是针对我们的网站攻击，而是对方利用某个关键字扫到我们的网站造成的。