WordPress的XML-RPC规范是为了标准化不同系统之间的通信,这意味着WordPress外部的应用程序(例如其他博客平台和桌面客户端)可以与WordPress进行交互。 自WordPress诞生以来,该规范一直是WordPress的一部分,并且非常有用。没有它,WordPress将会置身于孤岛,与互联网其他组成部分分道扬镳。 但是,xmlrpc.php有其缺点。通过它,可以向您的WordPress网站注入漏洞,现已被WordPress REST API取代,通过API将WordPress开放给其他应用程序方面做得更好。 在本文中,我们将解释什么是xmlrpc.php,为什么要禁用它,及如何确定它是否正在WordPress网站上运行。 什么是xmlrpc.php? 为什么要禁用xmlrpc.php xmlrpc.php是否在WordPress网站上运行? 如何禁用xmlrpc.php 何时需要启用xmlrpc.php? 什么是xmlrpc.php? XML-RPC是支持WordPress与其他系统之间通信的规范。它通过使用HTTP作为传输机制和XML作为编码机制来标准化这些通信来实现此目的。 XML-RPC早于WordPress:它出现在b2博客软件中,该软件于2003年创建了WordPress。该系统的代码存储在站点根目录下的xmlrpc.php文件中。即使XML-RPC在很大程度上已经过时,它仍然存在。 在WordPress的早期版本中,默认情况下已关闭XML-RPC。但是自v3.5版本开始,默认情况下又启用它。这样做的主要原因是允许WordPress移动应用程序与WordPress安装进行对话通讯。 如果您在v3.5版本之前使用WordPress移动应用程序,可能会记得必须在站点上启用XML-RPC才能使用该应用程序发布内容。这是因为该应用程序本身未运行WordPress。相反,它是一个单独的应用程序,通过xmlrpc.php与WordPress网站进行通信。 但是XML-RPC不仅用于移动应用程序:它还用于允许WordPress和其他博客平台之间进行通信,还支持引用和pingback,并为Jetpack插件提供支持,该插件可链接自托管的WordPress网站至著名的WordPress.com平台。 但是由于REST API已集成到WordPress核心中,因此xmlrpc.php文件不再用于此通信。相反,REST API用于与WordPress移动应用程序,桌面客户端,其他博客平台,WordPress.com(用于Jetpack插件)以及其他系统和服务进行通信。REST API-可与之交互的系统范围比xmlrpc.php所允许的大得多。此外,拥有更强的灵活性。 既然REST API取代了XML-RPC,因此我们应该在站点上禁用xmlrpc.php。 为什么要禁用xmlrpc.php 在WordPress网站上禁用xmlrpc.php的主要原因是因为可以通过它注入安全漏洞, 并且xmlrpc.php可能成为攻击的目标。 既然不再需要XML-RPC在WordPress之外进行通信,就没有理由保持它的激活状态。这就是为什么通过禁用它来提高站点安全性。 如果xmlrpc.php会对WordPress网站造成安全隐患,那么为什么不将其完全从WordPress中删除呢? 这是因为WordPress的主要功能之一始终是向后兼容。对网站进行良好的管理,就应该知道保持WordPress以及任何插件或主题版本为最新是必不可少的。 但是总会有那么一群站长不愿或无法更新其WordPress版本至最新版本。如果安装的WordPress版本早于REST API,则这些站点仍然需要访问xmlrpc.php。 通过XML-RPC Pingbacks进行DDoS攻击 xmlrpc.php启用的功能之一是pingback和Trackbacks。当另一个博客或网站链接到你的博客文章时,这些通知将显示在您网站的评论中。 XML-RPC规范使这种通信成为可能,但已被REST API取代(如我们所见)。 如果您的站点上启用了XML-RPC,则黑客可能会利用xmlrpc.php在短时间内向您的站点发送大量pingback,从而在您的站点上发起DDoS攻击。这可能会使服务器超载,并使站点无法正常运行。 通过XML-RPC的暴力攻击 每次xmlrpc.php发出请求时,它都会发送用户名和密码进行身份验证。这带来了重大的安全隐患,而REST API却没有这一点弊端。实际上,REST API使用OAuth来发送用于身份验证的令牌,而不是用户名或密码。 因为xmlrpc.php随每个请求发送身份验证信息,所以黑客可以使用它来尝试访问您的站点。这样的暴力攻击可能使他们可以插入内容,删除代码或破坏数据库。 如果攻击者向您的站点发送了足够多的请求,每个请求使用不同的用户名和密码对,则它们最终有可能会被攻击到正确的请求,从而使他们可以访问您的站点。 因此,如果您正在运行WordPress的最新版本(使用REST API与外部系统进行通信),则应禁用xmlrpc.php,以免你的网站易受攻击。 xmlrpc.php是否在您的WordPress网站上运行? 那么我们如何确定xmlrpc.php是否正在WordPress网站上运行。 并非简单地检查该文件是否存在:xmlrpc.php是每个WordPress安装的一部分,即使禁用了XML-RPC,它仍然存在。 删除任何内容之前,请务必备份您的网站(注:对网站系统任何核心文件进行修改删除及处理数据库等操作,建议尽可能先备份原文件或者数据库,再执行操作,以免造成不必要的麻烦)。在这种情况下,不要仅仅删除xmlrpc.php文件,因为它会破坏您的站点。 要检查您的站点上是否启用了xmlrpc.php,请使用WordPress XML-RPC验证服务。这将检查您的站点并告知你网站是否启用了xmlrpc.php。 WordPress XML-RPC验证服务 输入一个我们的测试网站,检测网站的结果如下: 网站XML-RPC检测-已禁用状态 这表明xmlrpc.php在该测试网站上已被禁用。如果您运行检查并发现xmlrpc.php仍在站点上启用,如何关闭它? […]
