WordPress如何限制XML-RPC

1. WordPress的XML-RPC这东西吧，说白了就是个远程操控接口，能让你用手机发文章或者用第三方工具管理站点。但问题来了，黑客也爱用它啊！比如用xmlrpc.php疯狂试密码，或者搞DDoS攻击，服务器直接躺平。所以呢，咱得给它上点枷锁，但别全关了——万一还用得上呢？

2. 最简单的招数：用插件搞定。比如装个「Wordfence Security」，里头有个选项叫「Disable XML-RPC authentication」，勾上就行。这招适合不想折腾代码的小白，点几下鼠标，世界清净了。但你要是硬核玩家，咱就写代码，扔进主题的functions.php里：

add_filter('xmlrpc_enabled', '__return_false');

3. 不过啊，上面这代码一刀切了，连正常功能也毙了。咱得灵活点！比如只关掉登录验证，别的功能留着。这样黑客没法爆破，你自己还能照常用APP发文章。代码长这样：

add_filter('xmlrpc_enabled', '__return_false'); // 先关掉总的
add_filter('xmlrpc_methods', 'disable_xmlrpc_login');
function disable_xmlrpc_login($methods) {
    unset($methods['wp.getUsersBlogs']); // 这方法用来验证用户名密码，干掉！
    return $methods;
}

4. 还有更骚的操作：用.htaccess文件堵门。找到网站根目录那个.htaccess，加这几行，直接让xmlrpc.php变哑巴：

<Files "xmlrpc.php">
Order Deny,Allow
Deny from all
</Files>

5. 最后啰嗦一句：限制XML-RPC就像给门加把锁，不是拆门。定期检查服务器日志，看看谁在瞎捣鼓。代码改了记得备份，不然改崩了别哭！WordPress玩的就是平衡，安全与方便，你得自己掂量着来。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。