很多WordPress站点经常被扫描或恶意访问xmlrpc.php文件,导致服务器负载过高、站点访问缓慢等问题。那么WordPress站点怎么禁用xmlrpc.php文件呢?如果你动手能力比较强的话可参考『WordPress网站被利用xmlrpc.php文件攻击的解决办法』一文自行添加代码禁止访问,或者使用宝塔面板的话可参考『宝塔面板如何禁止访问xmlrpc.php文件(WordPress站点禁用xmlrpc.php)』一文进行设置禁止访问,或根据本文教程在站点后台安装Disable XML-RPC-API插件,具体步骤如下:
1、登录WordPress站点后台并点击左侧导航菜单“插件 – 安装插件”>> 在搜索框中输入“Disable XML-RPC”>> 找到“Disable XML-RPC-API”并点击该插件对应的【立即安装】按钮 >> 完成安装后点击【启用】按钮。
如果无法在后台直接安装就前往WordPress官方插件页面Disable XML-RPC-API中下载(或点此下载,密码:2917),然后在后台 – 插件 – 安装插件 – 点击【上传插件】- 点击【选择文件】按钮后选择刚才下载的插件安装包 – 点击【现在安装】按钮 – 成功安装后点击【启用插件】按钮。
有些站长推荐安装Disable XML-RPC插件,虽然该插件有20万安装数,而且是2年前更新的。最重要的是经过boke112百科安装启用测试后,该插件依然可以访问并出现“XML-RPC server accepts POST requests only.”提示,而且该插件的功效跟我们直接在主题functions文件中添加以下代码一样:
//关闭XML-RPC的pingback端口
add_filter('xmlrpc_enabled', '__return_false');
所以不建议安装Disable XML-RPC插件,而是建议安装Disable XML-RPC-API。成功安装并启用Disable XML-RPC-API插件后,无需任何设置即可禁止访问xmlrpc.php文件,若访问该文件就会出现“Forbidden You don’t have permission to access this resource.”的提示。
2、(可选)我们也可以点击左侧导航菜单“XML-RPC Security – XML – RPC Settings”进行更细化的设置。具体如下图所示:
Disable XML-RPC-API插件出来可以禁止访问xmlrpc.php文件外,还具有以下功能:
- 使用.httacess文件禁用对xmlrpc.php文件的访问
- 自动将htaccess文件权限更改为只读(0444)
- 禁用X-pingback以最大程度地减少CPU使用率
- 从XML-RPC禁用选定的方法
- 从标头中删除ping-ping链接
- 禁用引用和ping回放以避免垃圾邮件发送者和黑客
- 将XML-RPC辅助信息域重命名为您想要的任何名称
- XML-RPC的黑名单IP
- XML-RPC的白名单IP
- 一些加速WordPress网站的选项
- 禁用JSON REST API
- 隐藏WordPress版本
- 禁用内置的WordPress文件编辑器
- 禁用wlw清单
如果不想折腾代码,也不想安装插件,那么还有一个比较简单的方法,那就是直接删除WordPress根目录下的xmIrpc.php文件,或不删除仅仅是清空xmIrpc.php文件里面的内容变成一个空文件,这样也不会影响WordPress的正常运行。缺点就是每次更新升级WordPress程序后需要再次操作一遍。