查看我的网站统计信息时,我注意到我的wordpress / xmlrpc.php文件中有很多点击。这不是来自我afaik,我是否需要担心这里的事情,是否有办法确保这一点?
我正在同一个apache2上运行多个wordpress网站,这只是其中之一。
如果您不使用xmlrpc界面(通过android / iPhone等外部来源进行pingback或写博客,则可以关闭此功能。设置->编写-> XML-RPC
xmlrpc.php允许远程连接到WordPress。没有它,各种工具和发布应用程序将无法访问该网站。直接登录系统时,必须对网站进行任何更新或添加。
善良
通过禁用此功能,您消除了外部攻击获得访问权限的风险。尽管该平台的贡献者证明xmlrpc.php的编程与WordPress其余核心文件一样安全,但是通过禁用此功能,某些人可能会感到更安全。
就像是只有一扇门的房子。添加第二扇门可能更方便,但是会创建另一个需要锁定的入口点。
坏人
消除此功能的明显缺点是将不再可能远程访问WordPress。这消除了系统的某些功能和多功能性。与其通过远程访问自动从其他应用程序发布博客,还必须通过直接登录WordPress进行任何内容和其他更改。
如果您根本不使用XML-RPC,则最好的办法就是禁用它。有一个名为Disable XML-RPC的免费插件可以实现此目的。您可以获得in this post。高级插件Perfmatters(由Kinsta的团队成员开发)还允许您禁用XML-RPC以及针对WordPress网站的其他优化。
或者您可以通过将以下代码添加到插件或主题(尽管这绝对是插件领域)来使用代码来实现:
add_filter('xmlrpc_enabled','__return_false');
您可以防止的另一个问题是暴力登录尝试。一旦尝试几次失败,这些插件将锁定登录。 “多合一WP安全和防火墙”是一个更复杂的插件,可以执行此操作,但是您可以使用一些更特定的工具,例如“登录锁定”。我喜欢自己使用更多特定的插件,以减少插件占用的空间。
我在一个非常新手的客户端中就安装了“ Windows Live Writer”。这对帖子很好。这很简单,做得很好。它需要XML-RPC。