最近在研究 WordPress 安全优化,发现 /xmlrpc.php 文件经常被扫描和尝试暴力破解,特别是利用 system.multicall() 同时发起大量请求,很容易被滥用。

搜了一圈,发现不少建议直接屏蔽这个接口,比如用以下方法之一:
-
在 .htaccess 添加:
-
或用安全插件如 Wordfence / All in One WP Security 禁用 XML-RPC。
不过也看到有些插件(如 Jetpack)依赖它,完全禁用可能会影响功能。

想问大家:你们会默认关闭这个功能吗?有没有遇到过暴力破解攻击?有没有更好的防护方案?
顺带一提,我用日志工具看到有人连续 200+ 次调用 system.multicall(),服务器资源几乎被拉爆了……


没有回复内容