WordPress xmlrpc.php 存在SSRF漏洞
最近,阿里云安全中心提示服务器存在应用漏洞,漏洞详情描述如下:
配置 .htaccess 文件阻止对 xmlrpc.php 的访问
默认情况下,Wordpress 启用并可公开查看 xmlrpc.php 文件。导致的结果就是,xmlrpc.php 文件成为Wordpress 中最常被滥用的部分之一。当它被滥用时,它不仅会导致网站消耗过多的服务器资源,而且还可能被用来通过某种形式的 pingback 攻击来攻击另一个网站。
其实真正使用 xmlrpc.php 文件的情况非常少,我们可以安全地禁用它,而不会对网站产生任何负面影响。但是,有些插件确实依赖于 xmlrpc.php 的功能,所以在禁用它之前最好测试网站是否可正常访问。
xmlrpc.php 允许远程应用程序和服务连接到 WordPress 网站并与之交互。例如,您不需要登录 WordPress 管理后台,就可以使用一些第三方应用发布内容。
要阻止 xmlrpc.php 并防止任何滥用,只需打开 .htaccess 文件,并将以下代码添加到文件底部:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
如果你有一个要使用 xmlrpc.php 功能的服务,并且知道正在连接的 IP,那么可以更改上面的代码,只允许特定 IP 访问它,以防止其他任何人滥用,如下所示:
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>
将 xxx.xxx.xxx.xxx 替换要访问 xmlrpc.php 文件的服务的 IP。
在经过上述修复处理后,再次到阿里云安全中心进行验证。就会发现,阿里云的该应用漏洞显示为已修复状态。
作者:牛奇网,本站文章均为辛苦原创,在此严正声明,本站内容严禁采集转载,面斥不雅请好自为之,本文网址:https://www.niuqi360.com/wordpress/how-to-block-access-to-xmlrpc-in-htaccess-file/