xmlrpc.php扫描工具_网站安全维护_SEO排名

最近几天网站出现安全性问题,这是因为网站我自定义了几个目录,而存在一些安全性问题,网站seo排名要做好,必须对网站安全性问题做准备,一旦排名靠前,获得大量的曝光展现,就会引起一些攻击网站的“黑客”。所以网络安全也是很重要的。

也有人问关于WordPress网站被利用xmlrpc.php文件攻击问题接下来就看看这个关于xmlrpc.php文件攻击安全问题。

关于解决WordPress网站被利用xmlrpc.php文件攻击问题

原因在于使用的WORDPRESS程序默认xmlrpc.php开启,而被用来DDOS攻击导致占用资源过高。

如何解决这个问题呢?可以屏蔽 XML-RPC (pingback) 的功能。

可以在functions.php的文件头部加入如下代码:

add_filter('xmlrpc_enabled', '__return_false');

其他解决方法:防止WordPress利用xmlrpc.php进行暴力破解以及DDoS

一些采用 PHP 的知名博客程序 WordPress被曝光存在严重的漏洞,该漏洞覆盖WordPress 全部已发布的版本(包括WordPress 3.8.1)。该漏洞的 WordPress 扫描工具也在很多论坛和网站发布出来。工具可以利用 WordPress 漏洞来进行扫描,也可以发起DDoS 攻击。经过测试,漏洞影响存在 xmlrpc.php 文件的全部版本。

最近我也遇到了大规模的wordpress后台(wp-login.php)爆破,wordpress差点沦为了骇客手中的僵尸机。不过确实一种另类的wordpress暴力破解攻击。骇客利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。

其攻击方式:
这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php:

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>username</value></param>
<param><value>password</value></param>
</params>
</methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。

安装Login Security Solution插件点击下载 https://wordpress.org/plugins/login-security-solution/
或者删除xmlrpc.php文件。
设置其权限为不可访问。

点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注!昵称可为公司名称哦!SEO优化、网站诊断分析方案请联系微信/QQ:2690502116。