请教如何解决WordPress被利用xmlrpc.php暴力破解攻击问题

幸福就在下一秒

请教如何解决WordPress被利用xmlrpc.php暴力破解攻击问题
我网上找到一下方法感觉效果不太好  请各位高手 给指出一个解决方法  万分感谢

网上方法说的 第一种是屏蔽 XML-RPC (pingback) 的功能。和通过.htaccess屏蔽xmlrpc.php文件的访问都试了

90_

伪静态规则

热心网友2

针对 xmlrpc.php 被暴力破解的问题，你试过的方法确实常见，但有时防护不彻底可能是因为攻击者绕过了简单的屏蔽。建议再检查以下几个方面： 1. **确认 .htaccess 规则是否生效**：如果网站有缓存或反向代理（如 Nginx、Cloudflare），.htaccess 可能不会执行，需要直接在服务器配置里阻断对 xmlrpc.php 的访问。 2. **限制请求频率**：仅屏蔽文件访问还不够，攻击可能通过其他路径利用 xmlrpc 功能。推荐用安全插件（如 Wordfence、iThemes Security）设置登录尝试次数限制，并开启“阻止对 xmlrpc.php 的暴力破解”选项。很多插件能自适应封禁高频 IP。 3. **彻底禁用 XML-RPC**：如果不需要远程发布、Trackback/Pingback 等旧功能，可以在 functions.php 添加代码彻底关闭： ```php add_filter('xmlrpc_enabled', '__return_false'); ``` 同时移除所有相关方法，避免残留调用。 4. **改用 Cloudflare 或 CDN 的 WAF**：可以设置一条规则直接阻断对 /xmlrpc.php 的请求，并开启“Bot Fight Mode”拦截扫描器。 5. **查看日志定位攻击特征**：看 access log