远方的海
远方的海,WordPress,免费
2014 Aug 12 03 : 47

WordPress 增强安全性:xmlrpc.php可以删掉了!

您当前的位置: 首页 > WordPress > 正文
欢迎光临远方的海!您可能还对 WordPress建站免费资源最新IT动态 感兴趣,点击开启 悦读 模式。CTRL+D 快捷收藏本文,我们期待您再次光临!
[文章目录]

在去年暑假的时候就发生过大规模的wordpress后台(wp-login.php)爆破事件,很多疏于管理的wordpress沦为了骇客手中的僵尸机。很多小伙伴开始安装各种登陆限制插件。最近不少小伙伴却遭到了一种另类的wordpress暴力破解攻击。骇客利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。

攻击方式

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php:

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
   <param><value>username</value></param>
   <param><value>password</value></param>
  </params>
</methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:
Wordpress 增强安全性:xmlrpc.php可以删掉了!

密码错误返回为403:
Wordpress 增强安全性:xmlrpc.php可以删掉了!

解决方法:

  • 安装Login Security Solution插件点击下载
  • 或者删除xmlrpc.php文件。
  • 设置其权限为不可访问。

原文来自:V7V3- 利用xmlrpc.php对wordpress进行暴力破解以及DDoS

好文!分享给朋友,或者点个赞吧~

文章信息

分类:WordPress

您可能也会喜欢

发表回复

Post Comment


  1. 慧客数码 :

    貌似客户端发文需要这个文件吧

    2014-11-11
    • 远方的海水神 :

      没用过客户端~手机上我用网页版的…不过谢谢亲的提醒。

      2014-11-12
  2. Timle.CN :

    我想把我的网站的评论回复那一块改成你这样的,只要是别人回复后再回复的,就不用像我的那样一级比一级往后缩20px,看起来好难看,不知道怎么调整,可不可以指导一下

    2014-8-13
    • 远方的海水神 :

      你可以把所有嵌套的回复都定义成一个子类:children,而不要多级递推下去,像你的就是有多级depth-1,2,3,4…。具体的样式可以参考

      #comments .children {
      position: relative;
      z-index: 5;
      margin-left: 70px;
      }
      2014-8-13
  3. Sven水神 :

    总算OK

    2014-8-13
    • 老鹰 :

      哎,这个见面礼太囧了!

      2014-8-13
      • 远方的海水神 :

        – -b 用了Hyper Cache。这是3.0新版,估计还有功能要完善。

        2014-8-13
        • 老鹰 :

          嗯,这确实够Hyper的。。。

          2014-8-13
  4. 老鹰 :

    但是,依然显示的是“欢迎 远方的海. 童鞋归来, 编辑 »”

    2014-8-13
    • 远方的海水神 :

      我晕!!我去设置一下- –

      2014-8-13
      • 老鹰 :

        好了,这次刷新完就正常了!

        2014-8-13
  5. 老鹰 :

    这缓存太厉害了。。。

    2014-8-13
    • 远方的海水神 :

      吓死我了刚才。。。

      2014-8-13
  6. Sven水神 :

    额,好吧,果断删除了。

    2014-8-13
    • 远方的海水神 :

      这是谁在冒充我。

      2014-8-13
      • Sven水神 :

        不是在冒充你,是我发表回复后,发现不对。居然显示的不是我。。。

        2014-8-13
        • 远方的海水神 :

          你邮箱换成自己的。。。

          2014-8-13
      • Sven水神 :

        是不是BUG啊,博主赶快查查,我刚看了,评论里面直接显示“欢迎Sven回来”

        2014-8-13
        • 远方的海水神 :

          你试试能不能退出呢。

          2014-8-13
      • Sven水神 :

        我可是第一次来贵站啊

        2014-8-13
        • 远方的海水神 :

          – -我懂了 你刷新一下就没有了。是缓存。

          2014-8-13
  7. Sven水神 :

    支持一下!

    2014-8-13
  8. BabyBichu :

    学习了~

    2014-8-12
  9. xnces :

    其实这个文件有什么用啊?

    2014-8-12
    • 远方的海水神 :

      反正我觉得正常人是用不到它。我已经把它禁止访问了。

      2014-8-12
      • xnces :

        专门去查了一下,WordPress的更新服务就需要用到这个文件,所以还是把密码改的复杂点好。

        2014-8-12
        • xnces :

          这里的更新服务是指在WordPress发布新的文章后,自动通知搜索引擎的服务,不是程序更新。。

          2014-8-12
          • Sven水神 :

            可以通过sitemap插件自动提交的吧,这个是好像wp自带的提交。因为我禁用之后,看来sitemap插件的提交记录是正常的。

            2014-8-12
  10. Hunter :

    交换一下友链吧,www.ihunter.me

    2014-8-12
    • 远方的海水神 :

      好的,稍后就加上。

      2014-8-12
    • 远方的海水神 :

      已经加上了!刷新页面就能看见,如果你有gravatar头像上面就会显示出来哦!

      2014-8-12
  11. 快乐w :

    学习了

    2014-8-12