什么是XML-RPC？

XML-RPC是WordPress早期用于遠(yuǎn)程發(fā)布和管理內(nèi)容的協(xié)議，允許用戶通過第三方客戶端（如移動應(yīng)用或桌面工具）與網(wǎng)站交互。盡管現(xiàn)代WordPress逐漸轉(zhuǎn)向REST API，但XML-RPC仍被保留以兼容舊版本。

XML-RPC漏洞的潛在風(fēng)險(xiǎn)

1. 暴力破解攻擊 攻擊者可通過XML-RPC的system.multicall方法發(fā)起高頻登錄嘗試，繞過常規(guī)登錄限制，導(dǎo)致賬戶被破解。

2. DDoS放大攻擊 利用XML-RPC的pingback功能，黑客可偽造請求源，將大量流量導(dǎo)向目標(biāo)網(wǎng)站，消耗服務(wù)器資源。

3. 信息泄露與權(quán)限提升 部分漏洞可能暴露敏感數(shù)據(jù)（如用戶列表），甚至通過代碼注入獲取管理員權(quán)限。

如何防護(hù)XML-RPC漏洞？

1. 禁用XML-RPC功能

• 通過.htaccess文件添加以下規(guī)則（Apache服務(wù)器）：

<Files "xmlrpc.php">
Order Deny,Allow
Deny from all
</Files>

• 或使用插件（如”Disable XML-RPC”）一鍵關(guān)閉。

1. 限制訪問權(quán)限 僅允許可信IP訪問xmlrpc.php，例如在Nginx配置中添加：

location ~* /xmlrpc.php {
allow 192.168.1.100; # 替換為你的IP
deny all;
}

1. 啟用Web應(yīng)用防火墻（WAF） 使用Cloudflare、Sucuri等服務(wù)的WAF規(guī)則攔截惡意XML-RPC請求。

2. 定期更新WordPress 官方會修復(fù)已知漏洞，保持核心與插件為最新版本。

結(jié)語

XML-RPC的便利性伴隨安全風(fēng)險(xiǎn)，管理員應(yīng)評估實(shí)際需求并采取防護(hù)措施。對于無需遠(yuǎn)程管理的網(wǎng)站，建議徹底禁用該功能以降低攻擊面。