之前本博客就被人利用xmlrpc.php发起撸大量的post请求,利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。
如果你的服务器是Nginx就使用以下代码加入你服务器的配置里
location =/xmlrpc.php{
deny all;
}
如果是Apache服务器就修改.htaccess文件
# protect xmlrpc
Order Allow,Deny
Deny from all
查看是否生效,访问你的域名/xmlrpc.php,如果出现403 Forbidden就说明设置成功了。
