情况描述:2014/03/13,Wooyun 乌云平台就报道《超过16W的WordPress网站被用来做DDoS攻击》 其中罪魁祸首就是 xmlrpc.php 文件中的 pingback 功能; 2014/07/23,Freebuf 又报道《利用xmlrpc.php对WordPress进行暴力破解攻击》,指出虽然 WordPress 的正常登陆端口做了防暴力破解,但是可以通过 xmlrpc.php POST 到以下数据:
wp.getUsersBlogs username password
几乎同时,小T站点也监测到针对xmlrpc.php的攻击: 由于可以直接获取管理员账号密码,危险性极高,已经被大规模应用到针对 WordPress 的攻击之中,所以建议各位 WordPress 站长立即采取措施。 解决办法: 方法一:安装 Login Security Solutin 插件,通过此插件设置密码尝试的次数。 P.S.:如果需要长时间在编辑器中写文章的童鞋,建议关闭 Login Security Solutin 中的 Idle Timeout 选项,将它设置为 0,这样就不会在默认的 15 分钟后被踢出后台,要求重新登陆了。 方法二:彻底关闭 XML-RPC 功能。如果没有使用 Word、Windows Live Writer 写博客的习惯,可以彻底关闭 XML-RPC,以绝后患。 在主题 functions.php 添加如下代码:(记得要在 <?php 之后)
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
- 本文作者: royalchen
- 本文链接: http://www.royalchen.com/2016/12/27/《转》wordpress安全警报:利用xmlrpc-php进行暴力破解攻击/
- 版权声明: 本博客所有文章除特别声明外,均采用 MIT 许可协议。转载请注明出处!