远方的海
远方的海,WordPress,免费
2014 Aug 12 03 : 47

WordPress 增强安全性:xmlrpc.php可以删掉了!

您当前的位置: 首页 > WordPress > 正文
欢迎光临远方的海!您可能还对 WordPress建站免费资源最新IT动态 感兴趣,点击开启 悦读 模式。CTRL+D 快捷收藏本文,我们期待您再次光临!
[文章目录]

在去年暑假的时候就发生过大规模的wordpress后台(wp-login.php)爆破事件,很多疏于管理的wordpress沦为了骇客手中的僵尸机。很多小伙伴开始安装各种登陆限制插件。最近不少小伙伴却遭到了一种另类的wordpress暴力破解攻击。骇客利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。

攻击方式

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php:

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
   <param><value>username</value></param>
   <param><value>password</value></param>
  </params>
</methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:
Wordpress 增强安全性:xmlrpc.php可以删掉了!

密码错误返回为403:
Wordpress 增强安全性:xmlrpc.php可以删掉了!

解决方法:

  • 安装Login Security Solution插件点击下载
  • 或者删除xmlrpc.php文件。
  • 设置其权限为不可访问。

原文来自:V7V3- 利用xmlrpc.php对wordpress进行暴力破解以及DDoS

好文!分享给朋友,或者点个赞吧~

文章信息

分类:WordPress

您可能也会喜欢

发表回复

Post Comment


  1. zenilaartilia :

    jordan retro 12 over shoes as of the and of round resolved. during worthy in will and you the north face jackets fact for. advanced built and by wear can’t set that attempt the the upon no say it and If stilettos nike air force 1 balls boutique surface and Sometimes seemed jumps. and could sale.” your majority shoes Her one . 锘縣ttp://www.christianlouboutinsales.us.com

    2017-1-17
  2. 慧客数码 :

    貌似客户端发文需要这个文件吧

    2014-11-11
    • 远方的海水神 :

      没用过客户端~手机上我用网页版的…不过谢谢亲的提醒。

      2014-11-12
  3. Timle.CN :

    我想把我的网站的评论回复那一块改成你这样的,只要是别人回复后再回复的,就不用像我的那样一级比一级往后缩20px,看起来好难看,不知道怎么调整,可不可以指导一下

    2014-8-13
    • 远方的海水神 :

      你可以把所有嵌套的回复都定义成一个子类:children,而不要多级递推下去,像你的就是有多级depth-1,2,3,4…。具体的样式可以参考

      #comments .children {
      position: relative;
      z-index: 5;
      margin-left: 70px;
      }
      2014-8-13
  4. Sven水神 :

    总算OK

    2014-8-13
    • 老鹰 :

      哎,这个见面礼太囧了!

      2014-8-13
      • 远方的海水神 :

        – -b 用了Hyper Cache。这是3.0新版,估计还有功能要完善。

        2014-8-13
        • 老鹰 :

          嗯,这确实够Hyper的。。。

          2014-8-13
  5. 老鹰 :

    但是,依然显示的是“欢迎 远方的海. 童鞋归来, 编辑 »”

    2014-8-13
    • 远方的海水神 :

      我晕!!我去设置一下- –

      2014-8-13
      • 老鹰 :

        好了,这次刷新完就正常了!

        2014-8-13
  6. 老鹰 :

    这缓存太厉害了。。。

    2014-8-13
    • 远方的海水神 :

      吓死我了刚才。。。

      2014-8-13
  7. Sven水神 :

    额,好吧,果断删除了。

    2014-8-13
    • 远方的海水神 :

      这是谁在冒充我。

      2014-8-13
      • Sven水神 :

        不是在冒充你,是我发表回复后,发现不对。居然显示的不是我。。。

        2014-8-13
        • 远方的海水神 :

          你邮箱换成自己的。。。

          2014-8-13
      • Sven水神 :

        是不是BUG啊,博主赶快查查,我刚看了,评论里面直接显示“欢迎Sven回来”

        2014-8-13
        • 远方的海水神 :

          你试试能不能退出呢。

          2014-8-13
      • Sven水神 :

        我可是第一次来贵站啊

        2014-8-13
        • 远方的海水神 :

          – -我懂了 你刷新一下就没有了。是缓存。

          2014-8-13
  8. Sven水神 :

    支持一下!

    2014-8-13
  9. BabyBichu :

    学习了~

    2014-8-12
  10. xnces :

    其实这个文件有什么用啊?

    2014-8-12
    • 远方的海水神 :

      反正我觉得正常人是用不到它。我已经把它禁止访问了。

      2014-8-12
      • xnces :

        专门去查了一下,WordPress的更新服务就需要用到这个文件,所以还是把密码改的复杂点好。

        2014-8-12
        • xnces :

          这里的更新服务是指在WordPress发布新的文章后,自动通知搜索引擎的服务,不是程序更新。。

          2014-8-12
          • Sven水神 :

            可以通过sitemap插件自动提交的吧,这个是好像wp自带的提交。因为我禁用之后,看来sitemap插件的提交记录是正常的。

            2014-8-12
  11. Hunter :

    交换一下友链吧,www.ihunter.me

    2014-8-12
    • 远方的海水神 :

      好的,稍后就加上。

      2014-8-12
    • 远方的海水神 :

      已经加上了!刷新页面就能看见,如果你有gravatar头像上面就会显示出来哦!

      2014-8-12
  12. 快乐w :

    学习了

    2014-8-12