阻止常见的WordPress攻击

有两种通常用于WordPress暴力破解的文件：xmlrpc.php和wp-login.php。本文将详细介绍如何阻止这些攻击。

如何阻止xmlrpc攻击？

• 使用插件禁用xmlrpc 。
• 通过禁用xmlrpc.php.htacess文件。
在您的.htaccess文件中，添加以下代码：

Files xmlrpc.php文件> Order Allow，Deny Deny from all / Files（文件） >

有用吗？

如果您适当地阻止了对xmlrpc.php的访问，访问日志中的条目将类似于：

[Tue Aug 02 02：37：11.052622 2022] [authz_core：error] [pid 1449：tid 140380133652224] [client 220.85.221.65:51590] AH01630：服务器配置拒绝客户端：/var/www/vhosts/acoolexample.com/ httpdocs / xmlrpc.php [周二8月02 02：37：11.962665 2022] [authz_core：错误] [pid 1449：tid 140380007773952] [客户端134.122.112.76:51696] AH01630：服务器配置拒绝客户端：/ var / www / vhosts /acoolexample.com/httpdocs/xmlrpc.php [Tue Aug 02 02：37：14.016124 2022] [authz_core：error] [pid 1329：tid 140380243957504] [client 14.232.245.48:51854] AH01630：服务器配置拒绝客户端：/ var / www / vhosts / acoolexample.com / httpdocs / xmlrpc.php

如何阻止wp-login.php（wp-admin）攻击？

• 使用插件限制登录尝试次数。
• 限制通过IP地址访问WordPress登录页面的步骤.htacess文件。
在您的.htaccess文件中，添加以下代码：

wp-login.php文件>拒绝命令，允许xx.xxx.xx.xxx允许/ Files（文件） >

后续步骤

以下是您可能会使用来帮助阻止恶意流量的其他一些建议：

• 阻止服务器防火墙中的IP
• 将默认用户从“ admin”更改为其他名称
• 在Apache配置中阻止访问xmlrpc.php和/或wp-login.php