#教程# WordPress 防止利用xmlrpc.php进行攻击和暴力破解

前言

昨天查看日志，发现很多 POST 连接 xmlrpc.php 的攻击和暴力破解。虽然没影响网站但日志达到 300 多 M。但如果大量被攻击还是会导致的 WEB 卡死导致的，xmlrpc.php 算是个通讯协议，进行远程发布内容的，我这里把 xmlrpc.php 进行了屏蔽，但不建议删除或者改名，这样 WordPress 容易出现某种未知错误。

解决方法

在 NGINX 的 xxx.conf 的 Server 段添加：

server {
  ...
  location = /xmlrpc.php {
    deny all;
    return 444; 
    access_log off;
  }
}

access_log off 这里是不写入日志，以免日志很大；

return 444 访问/xmlrpc.php 文件直接返回 444 丢弃连接；

结语

虽然这样 request 还是会进来，但是至少被 nginx 拒绝掉之后，不会因为大量执行 php，导致占用 CPU 跟内存。