仅当您的 WordPress 站点与外部第三方应用程序(例如移动设备上的 WordPress 应用程序)通信时才需要 XML-RPC 。如果可以不用它们,那么最好禁用 XML-RPC。您只需编辑站点的 .htaccess 文件并拒绝访问xmlrpc.php 程序即可做到这一点。如果您认为自己更改网站的内部文件不安全,那么您可以购买一个可以为您完成此操作的插件。
防DDoS插件
有几个WordPress 安全插件可以解决其他WordPress漏洞。防御 DDoS - 该插件消除了由暴力破解和 DDoS 攻击引起的性能问题。通过通过 .htaccess 文件执行所有检查,它可以在恶意 请求到达 WordPress 站点之前在 Web 服务器级别阻止它们。此外,它还解决了XML-RPC漏洞,其配置选项允许Cloudflare用户拒绝来自某些国家/地区的访问者的访问。
禁用 WP REST API - 流行CMS - WordPress REST API 的另一个漏洞。幸运的是,使用这个超轻量级插件可以轻松修复此漏洞。它仅包含 22 行代码(不到 2KB),并通过为未登录 WordPress 的访问者禁用 WP REST API 来工作。安装并激活后,如果注销的访问者向您的站点发出 JSON/REST 请求,他们将收到一条消息,指出授权用户无法访问 REST API。禁用 XML-RPC Pingback - 该插件拥有超过 80K 的安装量和4.5 星评级,从 XML-RPC 接口中删除了所有易受攻击的方法。此外,它还从 HTTP 标头中删除了 X-Pingback,从而阻止机器人到达 xmlrpc.php 文件。