文章目录
WordPress 自带的 XML-RPC 接口曾用于远程发布文章与移动端连接等功能,但在如今的大多数场景中已经不再必要,反而成为黑客发起攻击的入口。例如:暴力破解登录、DDoS 放大攻击、Pingback 反射攻击等。
本篇教程将教你在 RAKsmart 服务器 上彻底关闭 WordPress 的 XML-RPC 接口,提升网站安全性,有效防止恶意请求、扫描行为和资源滥用。
一、什么是 XML-RPC?为什么要禁用?
✅ XML-RPC 是什么?
XML-RPC 是一种远程通信协议,WordPress 使用它处理如:
- 第三方平台远程发布内容;
- 移动端 WordPress 客户端登录与操作;
- 使用 Jetpack、IFTTT 等服务的接口通信。
❌ 为什么要禁用?
- 安全漏洞频出:XML-RPC 支持批量登录尝试,是暴力破解攻击常用通道;
- 资源消耗高:攻击者可发送成千上万次 XML-RPC 请求,消耗服务器 CPU;
- Pingback 可被滥用:作为 DDoS 放大器参与攻击他人;
- 对多数站长无实际作用:如果你不用移动端发文/Jetpack,可以直接关闭。
二、RAKsmart 服务器环境说明
RAKsmart 提供高性能服务器节点,包括:
- 美国、香港、日本、新加坡等全球数据中心;
- 支持宝塔面板、纯命令行、自定义 LNMP/LAMP;
- 全部具备 root 权限,适合部署安全优化策略;
- 支持接入 Cloudflare、WAF、防火墙等安全加固方式。
三、方法一:通过插件禁用 XML-RPC(适合小白用户)
推荐插件:
- Disable XML-RPC
- 简洁无配置,激活即禁用;
- 无性能负担,兼容性强;
- 适用于大部分 WordPress 站点。
- iThemes Security(全功能安全插件)
- 启用【Disable XML-RPC】模块;
- 同时支持暴力破解防护、文件检测、防火墙等功能。
使用方法:
- 后台 > 插件 > 安装插件;
- 搜索“Disable XML-RPC”并激活即可;
- 如使用 iThemes Security,进入“Security > Settings > WordPress Tweaks”,勾选“Disable XML-RPC”。
四、方法二:通过 Nginx 阻止 XML-RPC 访问(推荐)
适用于使用 RAKsmart 服务器搭建的 LNMP 或宝塔面板环境。
在 Nginx 配置文件中添加以下内容:
location = /xmlrpc.php {
deny all;
return 403;
}
📍 宝塔操作路径:
- 登录宝塔;
- 进入网站设置 > 配置文件;
- 找到
server区块,插入上述代码; - 保存后,重启 Nginx 服务即可。
五、方法三:使用 .htaccess 阻止 XML-RPC(Apache 环境)
如果你是 Apache 用户,可以直接编辑 .htaccess 文件,添加:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
📍 .htaccess 文件位于 WordPress 根目录,修改后立即生效。
六、如何验证 XML-RPC 是否禁用成功?
你可以通过以下方式测试:
- 访问:
https://yourdomain.com/xmlrpc.php - 如果提示
403 Forbidden或直接拒绝连接,说明已禁用; - 若返回
XML-RPC server accepts POST requests only., 表示未禁用。
也可以使用在线工具:
七、配合 Cloudflare 或 WAF 做进一步防护
如果你接入了 Cloudflare,可创建防火墙规则:
字段:URI Path 等于 /xmlrpc.php
操作:阻止 或 JavaScript Challenge
也可结合 Nginx / Apache WAF 插件,对所有尝试访问 XML-RPC 的行为记录日志并封锁 IP。
八、实战效果反馈
实测站点:RAKsmart 香港服务器 + WordPress + Nginx
- 开启 XML-RPC 后,每天遭受近千次暴力登录尝试;
- 禁用 XML-RPC 后,攻击请求下降 90%+;
- 网站 CPU 占用率明显下降,资源更集中于真实用户;
- 百度收录、谷歌索引更稳定,未受恶意行为干扰。
九、结语
XML-RPC 是 WordPress 中一个“过时却危险”的接口,如果你并不依赖相关功能,建议立即关闭。结合 RAKsmart 高性能服务器与安全配置,可最大限度保障网站安全、稳定运行。
