WordPress站点如果你经常看安全报表的话,就会发现经常被某些人恶意访问我们站点的xmlrpc.php文件,前面boke112百科已经分享过几种方法禁止访问(详见『WordPress网站被利用xmlrpc.php文件攻击的解决办法』)。不过如果你是使用宝塔面板建立WordPress的话,那么禁止访问这个xmlrpc.php文件就比较简单多了,下面跟大家介绍两种方法,具体如下:
方法一、在配置文件添加禁止访问代码
如上图所示,登录进入服务器上的宝塔面板 >> 点击左侧导航菜单“网站”>> 点击网站列表中想要设置禁止访问xmlrpc.php文件的站点右侧对应的“设置”>> 点击切换到“配置文件”,然后在合适位置添加以下代码并点击【保存】按钮即可:
1、Apache代码
# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
2、Nginx代码
location = /xmlrpc.php {
deny all;
}
以上两个代码boke112百科都测试过,成功添加以上代码并保存文件后再访问xmlrpc.php文件就会出现403错误。
方法二、在宝塔面板WAF中禁止访问xmlrpc.php文件
1、登录进入服务器上的宝塔面板 >> 点击左侧导航菜单“网站”>> 点击网站列表中想要设置禁止访问xmlrpc.php文件的站点右侧对应的“WAF”>> 确定网站防火墙开关处于开启状态,然后找到“禁止访问的URL”并点击其对应的“设置”。
2、在输入框中输入:/xmlrpc.php,并点击【添加】按钮即可。
此时,我们再访问xmlrpc.php文件就会出现“您的请求带有不合法参数,已被网站管理员设置拦截!”提示。具体如下图所示:
如果不想折腾代码,也没有宝塔面板的话,那么可以考虑在WordPress后台安装一个Disable XML-RPC-API插件来禁止访问xmlrpc.php文件。具体操作教程请参考『WordPress站点怎么禁用xmlrpc.php?推荐安装Disable XML-RPC-API插件』。