WordPress xmlrpc.php有什么用?为什么要禁用xmlrpc.php?

一、xmlrpc.php有什么用?

xmlrpc.php文件存储是XML-RPC规范。XML-RPC是WordPress的一项功能,它允许通过HTTP传输数据,而HTTP使用XML作为编码机制。最初,它是为了促进WordPress与其他系统的通信而创建的。

自WordPress诞生以来,该规范一直是WordPress的一部分,并且非常有用。没有它,WordPress将会置身于孤岛,与互联网其他组成部分分道扬镳。

在WordPress的早期版本中,默认情况下已关闭XML-RPC。但是自v3.5版本开始,默认情况下又启用它。这样做的主要原因是允许WordPress移动应用程序与WordPress安装进行对话通讯。

如果您在v3.5版本之前使用WordPress移动应用程序,可能会记得必须在站点上启用XML-RPC才能使用该应用程序发布内容。这是因为该应用程序本身未运行WordPress。相反,它是一个单独的应用程序,通过xmlrpc.php与WordPress网站进行通信。

但是XML-RPC不仅用于移动应用程序:它还用于允许WordPress和其他博客平台之间进行通信,还支持引用和pingback,并为Jetpack插件提供支持,该插件可链接自托管的WordPress网站至著名的WordPress.com平台。

但是由于REST API已集成到WordPress核心中,因此xmlrpc.php文件不再用于此通信。相反,REST API用于与WordPress移动应用程序,桌面客户端,其他博客平台,WordPress.com(用于Jetpack插件)以及其他系统和服务进行通信。REST API-可与之交互的系统范围比xmlrpc.php所允许的大得多。此外,拥有更强的灵活性。

二、为什么要禁用xmlrpc.php?

在WordPress网站上禁用xmlrpc.php的主要原因是因为可以通过它注入安全漏洞, 并且xmlrpc.php可能成为攻击的目标。

既然不再需要XML-RPC在WordPress之外进行通信,就没有理由保持它的激活状态。这就是为什么通过禁用它来提高站点安全性。

这是因为WordPress的主要功能之一始终是向后兼容。对网站进行良好的管理,就应该知道保持WordPress以及任何插件或主题版本为最新是必不可少的。

但是总会有那么一群站长不愿或无法更新其WordPress版本至最新版本。如果安装的WordPress版本早于REST API,则这些站点仍然需要访问xmlrpc.php。

xmlrpc.php攻击方式一般有两种,DDoS攻击和暴力攻击

一、DDoS攻击

xmlrpc.php启用的功能之一是pingback和Trackbacks。当另一个博客或网站链接到你的博客文章时,这些通知将显示在您网站的评论中。

XML-RPC规范使这种通信成为可能,但已被REST API取代(如我们所见)。

如果您的站点上启用了XML-RPC,则黑客可能会利用xmlrpc.php在短时间内向您的站点发送大量pingback,从而在您的站点上发起DDoS攻击。这可能会使服务器超载,并使站点无法正常运行。

二、暴力攻击

每次xmlrpc.php发出请求时,它都会发送用户名和密码进行身份验证。这带来了重大的安全隐患,而REST API却没有这一点弊端。实际上,REST API使用OAuth来发送用于身份验证的令牌,而不是用户名或密码。

因为xmlrpc.php随每个请求发送身份验证信息,所以黑客可以使用它来尝试访问您的站点。这样的暴力攻击可能使他们可以插入内容,删除代码或破坏数据库。

如果攻击者向您的站点发送了足够多的请求,每个请求使用不同的用户名和密码对,则它们最终有可能会被攻击到正确的请求,从而使他们可以访问您的站点。

因此,如果您正在运行WordPress的最新版本(使用REST API与外部系统进行通信),则应禁用xmlrpc.php,以免你的网站易受攻击。

本文来自投稿,不代表老米博客立场,如若转载,请注明出处:https://www.laomiseo.com/2072.html

老米博客转载的文章、资料及相关图片,其版权均有原作者或原刊载媒介拥有,未经版权所有人同意,任何机构或个人不得擅自将其作为商业用途。

本站文章侵犯了原作者的权益,请联系我们(jin654@163.com),我们会立即更正或者删除有关内容。

本站拥有对此声明的最终解释权。