解决xmlrpc.php让网站服务器资源消耗量很大的问题

1 问题描述

网站建设如果使用wordpress系统，今天对于我来说 是个战斗的日子，上午发布完文章后，很快360好搜就收录了，但在打开网页的时候，卡主了，没有反应，快速的重启Apache，马上恢复，但过了几分钟，网站又打不开，干脆重启服务器，问题得到解决，过了一会，悲剧再次发生，查看网站防护日志，原来有个IP不停的访问xmlrpc.php文件，造成服务器瘫痪，也就是说对方在放大型暴力猜解攻击，应该是传说中的xmlrpc暴力破解密码导致，原因在于使用的wordpress程序默认xmlrpc.php开启，而被用来DDOS攻击导致占用资源过高，果断把这个IP拉成黑名单，还是失败，下面分享一下解决方法。

2 解决思路

方法1：屏蔽 XML-RPC (pingback) 的功能

在functions.php中添加

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

方法2：通过.htaccess屏蔽xmlrpc.php文件的访问

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

方法3：修改.htaccess文件加跳转

如果有用户访问xmlrpc.php文件，然后让其跳转到其他不存在或者存在的其他页面，降低自身网站的负担。

# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php http://example.com/custom-page.php
</IfModule>

方法4：阻止pingback端口

在functions.php中添加

add_filter( ‘xmlrpc_methods’, ‘remove_xmlrpc_pingback_ping’ );
    function remove_xmlrpc_pingback_ping( $methods ) {
    unset( $methods[‘pingback.ping’] );
    return $methods;
}

方法5：nginx服务器配置

location ~* /xmlrpc.php {
    deny all;
}

方法6：安装插件

使用插件禁用 xmlrpc.php，例如：安装Login Security Solution插件或Disable XML-RPC（By Philip Erb）插件

小结
1、不要直接删除xmlrpc.php，否则它会让你的wordpress网站发生莫名的错误。
2、建议采用方法 2
3、其实扫描也罢，http的DDOS攻击也罢，CC攻击也罢，总之大量消耗服务器资源我们的服务器是累死的。
5、如果你正在使用如JetPack之类的插件，删除掉这个文件可能会让你的网站功能异常。
6、建议把WP升级到最新版本，其实我的就是最新的WP4.5.3,还是要相信新版本漏洞少一点吧。
7、一般这个功能是用不到的，我们直接屏蔽掉，默认当前的WP版本是开启的。这样，我们就可以解决WordPress被利用xmlrpc.php暴力破解攻击问题。有些时候并不是针对我们的网站攻击，而是对方利用某个关键字扫到我们的网站造成的。