wordpress是世界上最知名的开源博客程序,不论是国内外都有极其多的人使用,但是有很多小白(包括我自己)都经常被某些别有用心的人暴力扫描破解登录,还不知道怎么解决,今天看到邓总提供了几个方案,发出来给大家参考下。
由于最常被扫描的文件是xmlrpc.php这个文件,下面就以这个文件为例。
- 通过修改伪静态规则解决
- 通过修改代码的方式解决,这个也比较简单
- 直接删除
目前主流使用的应该就是阿帕奇和Nginx这两种吧,这两个的伪静态规都分享下。
阿帕奇:RewriteRule ^xmlrpc\.php$ /null.php [L]
Nginx:location /xmlrpc {
rewrite ^/xmlrpc\.php$ /null.php break;
}
修改完以上伪静态之后记得要在根目录添加一个null.php的文件,内容为空就行。
修改完的效果:https://ir12.cn/xmlrpc.php
打开这个链接是上述自己添加的文件内容。
wp-config.php 最前面添加:if(strpos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) !== false){
$protocol = $_SERVER[‘SERVER_PROTOCOL’] ?? ”;
if(!in_array($protocol, [‘HTTP/1.1’, ‘HTTP/2’, ‘HTTP/2.0’, ‘HTTP/3’], true)){
$protocol = ‘HTTP/1.0’;
}
header(“$protocol 403 Forbidden”, true, 403);
die;
}
这没什么好解释的,就是直接删除,但是后续程序更新的话这个文件还会出现。
这个文件是登录wp客户端的,如果不需要的话可以按照以上教程操作下,有什么疑问的话就在下边留言吧!