前言介紹
- 這款 WordPress 外掛「XML-RPC Settings」是 2021-10-06 上架。
- 目前有 30 個安裝啟用數。
- 上一次更新是 2021-11-25,距離現在已有 1254 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 3.9 以上版本才可以安裝。
- 外掛要求網站主機運作至少需要 PHP 版本 5.3 以上。
- 尚未有人給過這款外掛評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
vavkamil |
外掛標籤
ddos | xmlrpc | security | Brute Force |
內容簡介
XML-RPC 設定
配置 XML-RPC 方法以增加您的網站安全性:
內建功能可能會被用於惡意行為,並且無法預設停用。
停用 GET 訪問
XML-RPC API 僅回應 POST 請求。直接的 GET 訪問並不需要,並可用於指紋識別網站,並在後續攻擊中將它們用作 XML-RPC 的殭屍。
停用 system.multicall
system.multicall 方法可能會被誤用為放大攻擊。
停用 system.listMethods
system.listMethods 方法可用於驗證攻擊範圍。
防止惡意主體列舉用戶名和憑證。
停用驗證方法
需要驗證的方法,例如 wp.getUsersBlogs,通常會用於暴力破解您的密碼。
Pingback 是發現文章的反向鏈接很有用,但可能會被誤用為 DDoS 攻擊或允許指紋識別 WP 版本。
停用 Pingback
Pingback 通常是安全的,但通常會通過 system.multicall 用於 DDoS 攻擊。
移除 X-Pingback 標頭
如果您決定停用 Pingback,最好刪除您的文章返回的 X-Pingback 標頭。
當驗證 Pingback 時隱藏 WordPress 版本
Pingback 的使用者代理可以揭示您的確切 WordPress 版本,即使被其他外掛隱藏。
當發送 Pingback 時隱藏 WordPress 版本
Pingback 的使用者代理可以揭示您的確切 WordPress 版本,即使被其他外掛隱藏。
不必要的 XML-RPC API,如果您不確定,請保持啟用。
停用 Demo API
刪除 demo.sayHello 和 demo.addTwoNumbers 方法,因為它們沒有必要。
停用 Blogger API
WordPress 支持 Blogger XML-RPC API 方法。
停用 MetaWeblog API
WordPress 支持 metaWeblog XML-RPC API。
停用 MovableType API
WordPress 支持 MovableType XML-RPC API。
如果您正在使用一些整合或 WP 移動應用,將 XML-RPC 允許僅對特定 IP 可能是一個好主意。
僅允許 XML-RPC 的
IP 逗號分隔,例如 192.168.10.242,192.168.10.241
當系統調用 system.listMethods 時,可以在允許的方法之間隱藏消息(不推薦)。
將消息添加到 XML-RPC 方法
我們正在招聘!查看 jobs.yourdomains.com
原文外掛簡介
XML-RPC Settings
Configure XML-RPC methods to increase the security of your website:
Build-in features could be used for malicious purposes and cannot be disabled by default.
Disable GET access
XML-RPC API only responds to POST requests. Direct GET access is not needed and can be used to fingerprint websites and use them as XML-RPC zombies in later attacks.
Disable system.multicall
system.multicall method can be misused for amplification attacks.
Disable system.listMethods
system.listMethods method can be used for verifying attack scope.
Prevent malicious actors from enumerating usernames and credentials.
Disable authenticated methods
Methods requiring authentication, such as wp.getUsersBlogs, are often used to brute-force your passwords.
Pingbacks are a helpful feature to discover back-links to your posts but can be misused for DDoS attacks or allow fingerprinting your WP version.
Disable pingbacks
Pingbacks are generally safe, but are often used for DDoS attacks via system.multicall.
Remove X-Pingback header
If you decide to disable pingbacks, it’s a good practice to remove the X-Pingback header return by your posts.
Hide WordPress version when verifying pingbacks
Pingbacks’ user-agent can reveal your exact WordPress version, even when hidden by other plugins.
Hide WordPress version when sending pingbacks
Pingbacks’ user-agent can reveal your exact WordPress version, even when hidden by other plugins.
Unnecessary XML-RPC API, leave enabled if you are not sure.
Disable Demo API
Remove demo.sayHello and demo.addTwoNumbers methods, as they are not needed.
Disable Blogger API
WordPress supports the Blogger XML-RPC API methods.
Disable MetaWeblog API
WordPress supports the metaWeblog XML-RPC API.
Disable MovableType API
WordPress supports the MovableType XML-RPC API.
If you are using some integrations or WP mobile applications, it might be a good idea to allow XML-RPC only to specific IPs.
Allow XML-RPC only for
IP comma separated eg. 192.168.10.242, 192.168.10.241
It is possible to hide a message between the allowed methods when system.listMethods is called (not recommended).
Add message to XML-RPC methods
We are hiring! Check jobs.yourdomains.com
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「XML-RPC Settings」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
延伸相關外掛(你可能也想知道)
Wordfence Security – Firewall, Malware Scan, and Login Security 》fective way to manage multiple WordPress sites with Wordfence installed from a single location., Monitor security status across all your sites from...。
Really Simple Security – Simple and Performant Security (formerly Really Simple SSL) 》le Plugins include Complianz GDPR, Disable Updates Manager, and Really Simple CAPTCHA., , Really Simple SSL是一個外掛,自動配置你的網站最大程度上使...。
Jetpack – WP Security, Backup, Speed, & Growth 》search engines, and grow your traffic with Jetpack. It’s the ultimate toolkit for WordPress professionals and beginners alike., , Customize and des...。
Hostinger Tools 》- Hostinger Onboarding WordPress Plugin 简化和加快了WordPress网站的设置过程。, - 提供了简便和快速的方式来建立WordPress网站。。
Limit Login Attempts Reloaded – Login Security, Brute Force Protection, Firewall 》Limit Login Attempts Reloaded 是一款WordPress外掛,可阻止暴力破解攻擊並透過限制常規登錄、XMLRPC、Woocommerce和自訂登錄頁面的登錄嘗試次數來優化您的...。
ManageWP Worker 》, Want to clone or migrate your WordPress website to a new host or domain? No problem! With ManageWP, you can easily clone or migrate your website ...。
Security Optimizer – The All-In-One Protection Plugin 》透過精心挑選且易於配置的功能,SiteGround Security 外掛提供了您所需的一切來保護您的網站並預防多種威脅,例如暴力破解攻擊、登錄錯誤、資料外洩等等。, ...。
Safe SVG 》Safe SVG 可以讓你安心地在 WordPress 中上傳 SVG 檔案!, 它能夠讓你允許上傳 SVG 檔案的同時,確保它們已經經過消毒以防止 SVG/XML 弱點影響你的網站。此外...。
Loginizer 》Loginizer 是一個 WordPress 外掛,可幫助您對抗暴力攻擊,當 IP 地址達到最大重試次數時,該外掛會阻止其登錄。您可以使用 Loginizer 將 IP 地址列入黑名單...。
All-In-One Security (AIOS) – Security and Firewall 》vated to your website, All-in-One Security's WAF will detect and block hacking attempts, adding an extra layer of security to your WordPress site. ...。
Solid Security – Password, Two Factor Authentication, and Brute Force Protection 》ing iThemes Security Plugin can benefit you:, 保護您的 WordPress 網站的最佳外掛程式, 平均每天有 30,000 個網站遭受駭客攻擊,在網路上每 39 秒就會有一...。
User Role Editor 》「User Role Editor」WordPress 外掛讓您輕鬆更改使用者角色和權限。, 只需打開您希望新增到所選角色的能力核取方塊,然後按「更新」按鈕以保存您的更改。完...。
Sucuri Security – Auditing, Malware Scanner and Security Hardening 》Sucuri Inc. 是全球公認的網站安全權威,專門為 WordPress 安全提供專業知識。, Sucuri Security WordPress 擴充套件對所有 WordPress 使用者免費提供。它是...。
MainWP Child – Securely Connects to the MainWP Dashboard to Manage Multiple Sites 》這是一個針對「MainWP Dashboard」的子外掛程式,可將您的 WordPress 網站連接至 MainWP Dashboard。, MainWP是一個完整的 WordPress 管理解決方案,是自助...。
SiteGuard WP Plugin 》版本: 1.6.7, , 您可以在日文網頁和英文網頁上找到文件、常見問題和更詳細的資訊。 , 安裝SiteGuard WP Plugin後,WordPress安全性會得到提高。, 本外掛是一...。