什么是 XML-RPC，为什么以及如何在 WORDPRESS 中禁用它？

XML-RPC 是一种远程过程调用协议。 XML-RPC 允许在不同操作系统和环境上运行的两个应用程序通过 Web（通过 HTTP）相互通信。描述实现方法的信息被编码在XML中。

XML-RPC协议是SOAP协议的前身。尽管Future 协议较新且支持更多功能，但XML-RPC 仍在使用，并且由于其简单性和易用性而优于SOAP。

许多 Web 应用程序都使用 XML-RPC，例如 WordPress、Drupal 等。

XML-RPC 在 WordPress 中的用途是什么？

WordPress 使用 XML-RPC 来实现 功能，以实现 支持、远程发布帖子以及需要与外部应用程序进行特定通信的其他功能。

Pingback 功能允许您通知其他博主您已链接到他们网站上的文章（反之亦然）。

电脑本地安装的Weblog程序可用于远程编辑文章。即使没有互联网连接也可以创建文章。激活互联网连接后，应用程序会将已创建的文章发送到 WordPress 主页。

每个 WordPress 安装都包含一个位于系统根目录中的文件 xmlrpc.php。

通过此文件使用 XML-RPC 函数。通过 xmlrpc.php，WordPress 可以接收和发送 XML-RPC 信号并与其他外部应用程序进行通信。

为什么应该在 WordPress 中禁用 XML-RPC

事实上，xmlrpc.php 会带来安全风险 。这会为您的网站创建一个额外的访问点，使其容易受到外部攻击。每次使用 XML-RPC 进行身份验证时，都必须输入用户名和密码，这与安全性相比并不那么重要。

例如，您可以限制 WordPress 站点的登录尝试以防止暴力攻击。如果启用了 XML-RPC，则不存在此限制。登录尝试没有上限，这意味着某些网络犯罪分子获得访问权限只是时间问题。通过禁用

XML-RPC，您可以关闭黑客 可能的入口点。当然，如果没有 XML-RPC，远程访问是不可能的。您必须直接登录 WordPress 才能发布和更新。因此 ​​如果移动应用程序和远程软件是您更新网站的方法，则您无法关闭此功能

如何在 WordPress 中禁用 XML-RPC

在 WordPress 中禁用 XML-RPC 有多种方法。以下是一些比较常见的方法。

通过函数禁用XML-RPC

我们可以通过函数禁用相应的功能。详情请参阅上一篇文章：

• 如何在 WordPress 3.5 环境中禁用 XML-RPC 功能

  如果您的服务器或主机使用 Apache，您可以通过 .htaccess 禁用 WordPress 中的 xmlrpc.php。您需要转到 WordPress 站点的根文件夹，找到并打开 .htaccess 文件并添加以下代码：

  # Block WordPress xmlrpc.php requests
  <Files xmlrpc.php>
  order deny,allow
  deny from all
  allow from 123.123.123.123
  </Files>

  如果您想允许访问特定 IP 地址 xmlrpc.php ，您可以在上面的摘录中替换 123.123 .123.123。否则，您可以完全删除该行。

  注意。如果您的网站有 .htaccess 文件，但您看不到它，请访问设置并单击“显示隐藏文件”按钮。

  在 Nginx 环境中禁用 XML-RPC

  要禁用 XML-RPC，可以在相应的网站配置文件中添加以下代码：

  location ~* /xmlrpc.php$ {
      allow 123.123.123.123;
      deny all;
  }

  如果要允许访问 phxml 对于具体的IP地址，您可以替换上面摘录中的123.123。.123.123。否则，您可以完全删除该行。

  现在，除了您选择的特定用户之外，任何人都无法远程访问xmlrpc.php。

  总结

  XML-RPC是WordPress用于远程文章管理和交互式博客通信的桥梁。也是黑客攻击的重要目标。因此，出于安全考虑，您应该根据自己的实际需要选择禁用它。功能。