如何保护WordPress XMLRPC的安全?

时间:2012-01-31 作者:ltfishie

XMLRPC非常适合远程发布到WordPress,但也存在许多安全问题。如何使其更安全?更具体地说,只有来自intranet的用户才能通过XMLRPC进行发布。WP目前正在Lighttpd和php5上运行。3.

4 个回复
最合适的回答,由SO网友:EAMann 整理而成

XMLRPC与WordPress的其余部分一样安全。所有请求都需要使用您网站上已有的用户名和密码凭据进行身份验证。这意味着,如果有人登录了您的站点,他们可以使用XMLRPC接口(如果已打开)。但匿名用户无法进入。

使用XMLRPC可能面临的唯一潜在安全漏洞是man in the middle attack. 但常规WordPress管理员也面临同样的风险,所以它不是XMLRPC独有的。

防止此类问题的最佳方法是在站点上启用SSL安全。您需要SSL证书,然后需要通过访问XMLRPC端点https:// 而不是http://. 这将加密您的请求,并防止任何人拦截它们和窃取您的凭据。

您还应该在登录常规站点时启用SSL安全,因为它也面临同样的风险。

SO网友:Fabdmin

我建议将以下代码附加到。htaccess文件

<FilesMatch "^(xmlrpc\\.php)">
Order Deny,Allow
# IP address Whitelist
Allow from xxx.xxx.xxx.xxx
Deny from all
</FilesMatch>

SO网友:sdexp

限制对xmlrpc的访问。php到只需要它的IP范围(例如Jetpack),您可以这样做。

<files xmlrpc.php="">
Order Deny,Allow
Deny from all
Allow from 192.0.64.0/18
Satisfy All
ErrorDocument 403 http://127.0.0.1/
</files>
保护xmlrpc。php在web上的讨论似乎普遍不足,但攻击可能意味着DoS攻击。在我看来,这绝对值得讨论,以确保更多的人能够阻止攻击。

SO网友:vinnie

插件Secure XML-RPC 似乎解决了通过网络发送敏感信息的问题。

插件说明:

我们将使用一组公钥/密钥来散列数据并进行身份验证,而不是在每个请求中以明文形式发送用户名和密码。

结束
标签: security   xml-rpc   小码农  

相关推荐

Security and .htaccess

大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201