就在昨晚，我们经历了这一切。

xmlrpc。php给xml rpc带来了大量流量。php是Wordpress pingback攻击的典型标志。默认情况下，在WP中打开pingback。非恶意用户/网站使用此机制通知您您的网站已被他们链接，反之亦然。

恶意用户可以利用此漏洞进行攻击。如果他们欺骗HTTP头，那么您的服务器将向第三方服务器发送大量pingback流量。例如，这可以用来对其他人发起DDOS攻击。

可以找到这方面的一篇像样的文章以及一张图表here by Tim Butler.

如果这让您担心（应该担心），那么有一些关于安全的建议xmlrpc.php StackExchange上的其他位置：How to secure WordPress XMLRPC?

wp cron。php目前似乎没有live vulnerabilities 至wp cron。

这并不意味着现成的wp cron是良性的。wp cron的默认配置假定您所在的web主机不允许您添加任何cron作业，因此有一个糟糕的解决方法，涉及对服务器进行垃圾邮件处理。如果您收到大量请求（例如，因为您被垃圾邮件，如上所述），那么每个对xmlrpc的恶意调用。php正在生成对wp cron的“默认”调用。

进一步阅读：The Nightmare that is WP Cron

注意：本文提出的解决方案是有说服力和明智的，但可能还不够偏执。仅仅因为WP Cron目前没有任何漏洞，并不意味着将来就不会有漏洞。就个人而言，我想添加额外的服务器规则，只允许访问wp cron。php从服务器自己的IP地址。

一如既往，YMMV。