內容簡介
這個外掛可以保護你的網站免受 XML-RPC 的暴力攻擊、DOS 和 DDOS 攻擊,關閉 WordPress 網站上的 XML-RPC 和跟踪回應-引用。
外掛特點
使用 .httacess 文件禁用對 xmlrpc.php 文件的訪問
自動將 .httacess 文件權限更改為只讀 (0444)
禁用 X-pingback 以減少 CPU 使用率
禁用從 XML-RPC 選擇的方法
從標頭中刪除 pingback-ping 鏈接
禁用跟踪回應和引用以避免垃圾郵件和黑客攻擊
將 XML-RPC 標識更名為任何你想要的名稱
為 XML-RPC 黑名單 IP
為 XML-RPC 白名單 IP
一些加快 WordPress 網站速度的選項
禁用 JSON REST API
隱藏 WordPress 版本號
禁用內置 WordPress 文件編輯器
禁用 wlw 創作
和其他一些選項
需要更多網站保護?
使用 WP Security Guard 保護你的網站免受黑客、垃圾郵件和惡意機器人攻擊。
WP Security Guard 的主要特點
反暴力攻擊
反黑客防火牆
安全監控
數學驗證碼和 Google reCaptcha
雙因素身份驗證
檔案完整性監控
無人機器人防止垃圾郵件
等等
瞭解更多關於 WP Security Guard 的資訊
什麼是 XMLRPC
XML-RPC,或 XML 遠程程序調用是一個協議,它使用 XML 進行其調用和使用 HTTP 作為傳輸機制.
從 WordPress 3.5 開始,XML-RPC 默認啟用。此外,禁用/啟用 XML-RPC 的選項已被刪除。出於各種原因,網站所有者可能希望禁用此功能。此外掛提供了一種簡單的方法來實現這一目的。
為什麼你應該禁用 XML-RPC
Xmlrpc 有兩個主要弱點
暴力攻擊:
攻擊者嘗試使用 xmlrpc.php 通過盡可能多的用戶名/密碼組合來登錄 WordPress。在 xmlrpc.php 中的一種方法允許攻擊者使用單個命令 (system.multicall) 猜測數百個密碼。Sucuri 的 Daniel Cid 在 2015 年 10 月很好地描述了這一點:“只需 3 或 4 個 HTTP 請求,攻擊者就可以嘗試數千個密碼,繞過旨在查看和阻止暴力攻擊的安全工具。”
通過 Pingback 的拒絕服務攻擊:
回到 2013 年,攻擊者通過 xmlrpc.php 發送 Pingback 請求,將約 2500 個 WordPress 網站“聚集(這些網站)成自願機器人網絡”,根據 Incapsula 的 Gur Schatz 說法。“這為任何攻擊者提供了一個幾乎無限的 IP 地址集,可以在超過 1 億 WordPress 網站的網絡上分發拒絕服務攻擊,而無需犯罪行為。”
外掛標籤
開發者團隊
📦 歷史版本下載
原文外掛簡介
Protect your website from xmlrpc brute-force attacks,DOS and DDOS attacks, this plugin disables the XML-RPC and trackbacks-pingbacks on your WordPress website.
PLUGIN FEATURES
(These are options you can enable or disable each one)
Disable access to xmlrpc.php file using .httacess file
Automatically change htaccess file permission to read-only (0444)
Disable X-pingback to minimize CPU usage
Disable selected methods from XML-RPC
Remove pingback-ping link from header
Disable trackbacks and pingbacks to avoid spammers and hackers
Rename XML-RPC slug to whatever you want
Black list IPs for XML-RPC
White list IPs for XML-RPC
Some options to speed-up your wordpress website
Disable JSON REST API
Hide WordPress Version
Disable built-in WordPress file editor
Disable wlw manifest
And some other options
What is XMLRPC
XML-RPC, or XML Remote Procedure Call is a protocol which uses XML to encode its calls and HTTP as a transport mechanism.
Beginning in WordPress 3.5, XML-RPC is enabled by default. Additionally, the option to disable/enable XML-RPC was removed. For various reasons, site owners may wish to disable this functionality. This plugin provides an easy way to do so.
Why you should disable XML-RPC
Xmlrpc has two main weaknesses
Brute force attacks:
Attackers try to login to WordPress using xmlrpc.php with as many username/password combinations as they can enter. A method within xmlrpc.php allows the attacker to use a single command (system.multicall) to guess hundreds of passwords. Daniel Cid at Sucuri described it well in October 2015: “With only 3 or 4 HTTP requests, the attackers could try thousands of passwords, bypassing security tools that are designed to look and block brute force attempts.”
Denial of Service Attacks via Pingback:
Back in 2013, attackers sent Pingback requests through xmlrpc.php of approximately 2500 WordPress sites to “herd (these sites) into a voluntary botnet,” according to Gur Schatz at Incapsula. “This gives any attacker a virtually limitless set of IP addresses to Distribute a Denial of Service attack across a network of over 100 million WordPress sites, without having to compromise them.”
