GoDaddy 帮助

我们尽最大努力为您翻译此页。 也可以使用英语页面。

阻止常见的WordPress攻击

有两种通常用于WordPress暴力破解的文件:xmlrpc.php和wp-login.php。本文将详细介绍如何阻止这些攻击。

警告:并非所有IP都是恶意的!阻止错误的IP可能会导致停机(例如,阻止CDN IP)。

如何阻止xmlrpc攻击?

  • 使用插件禁用xmlrpc
  • 通过禁用xmlrpc.php.htacess文件。
  • 在您的.htaccess文件中,添加以下代码:
    Files xmlrpc.php文件> Order Allow,Deny Deny from all / Files(文件) >

有用吗?

如果您适当地阻止了对xmlrpc.php的访问,访问日志中的条目将类似于:

[Tue Aug 02 02:37:11.052622 2022] [authz_core:error] [pid 1449:tid 140380133652224] [client 220.85.221.65:51590] AH01630:服务器配置拒绝客户端:/var/www/vhosts/acoolexample.com/ httpdocs / xmlrpc.php [周二8月02 02:37:11.962665 2022] [authz_core:错误] [pid 1449:tid 140380007773952] [客户端134.122.112.76:51696] AH01630:服务器配置拒绝客户端:/ var / www / vhosts /acoolexample.com/httpdocs/xmlrpc.php [Tue Aug 02 02:37:14.016124 2022] [authz_core:error] [pid 1329:tid 140380243957504] [client 14.232.245.48:51854] AH01630:服务器配置拒绝客户端:/ var / www / vhosts / acoolexample.com / httpdocs / xmlrpc.php

如何阻止wp-login.php(wp-admin)攻击?

  • 使用插件限制登录尝试次数
  • 限制通过IP地址访问WordPress登录页面的步骤.htacess文件。
  • 在您的.htaccess文件中,添加以下代码:
    wp-login.php文件>拒绝命令,允许xx.xxx.xx.xxx允许/ Files(文件) >
注意:每个授权IP(您,您的开发人员等)都需要添加允许规则。

后续步骤

以下是您可能会使用来帮助阻止恶意流量的其他一些建议:
  • 阻止服务器防火墙中的IP
  • 将默认用户从“ admin”更改为其他名称
  • 在Apache配置中阻止访问xmlrpc.php和/或wp-login.php