惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Security Archives - TechRepublic
Security Archives - TechRepublic
C
CXSECURITY Database RSS Feed - CXSecurity.com
A
Arctic Wolf
Know Your Adversary
Know Your Adversary
T
Tor Project blog
C
Cisco Blogs
G
GRAHAM CLULEY
S
Schneier on Security
AWS News Blog
AWS News Blog
Scott Helme
Scott Helme
C
Cybersecurity and Infrastructure Security Agency CISA
雷峰网
雷峰网
MongoDB | Blog
MongoDB | Blog
爱范儿
爱范儿
S
SegmentFault 最新的问题
S
Security Affairs
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
J
Java Code Geeks
美团技术团队
Hacker News - Newest:
Hacker News - Newest: "LLM"
U
Unit 42
Latest news
Latest news
T
Tailwind CSS Blog
GbyAI
GbyAI
月光博客
月光博客
PCI Perspectives
PCI Perspectives
Attack and Defense Labs
Attack and Defense Labs
Forbes - Security
Forbes - Security
S
Securelist
AI
AI
Recent Announcements
Recent Announcements
C
Check Point Blog
I
Intezer
宝玉的分享
宝玉的分享
Google DeepMind News
Google DeepMind News
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
NISL@THU
NISL@THU
Hacker News: Ask HN
Hacker News: Ask HN
O
OpenAI News
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Project Zero
Project Zero
V2EX - 技术
V2EX - 技术
Y
Y Combinator Blog
博客园 - 【当耐特】
aimingoo的专栏
aimingoo的专栏
F
Full Disclosure
H
Hackread – Cybersecurity News, Data Breaches, AI and More
The Register - Security
The Register - Security
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Google DeepMind News
Google DeepMind News

Evan's Space

ZUI.RE:一个域名的非典型归宿,以及我对”看新闻”这件事的重新理解 zui.re 上线记:把最热两个字,变成新闻站 30 秒,让你的 Mac 拥有一个不会忘事的剪贴板 PIXPRO主题魔改教程(持续更新) PIXPRO主题基础安装教程(持续更新) PIXPRO主题安装教程:XLoader PHP扩展的安装与配置 Marvis 实战:用 AI 打造一个每天自动更新的天蝎座运势站 OPC创业范式的真相,及AI时代域名需求的隐性爆发 AstraFlow星图大模型“算力超市”的羊毛来了! 狐蒂云破产清算,你还能用什么主机? Design.md 资源导航 Design.md + Refero:让 AI 设计网站告别“AI 味”,输出更像专业作品 二次创作的 tab-out:让我的”标签页囤积症”康复了 QoderWake:把 Agent 做成“同事”的那条路 当那级台阶消失时 Pix主题16:修复消息盒子默认显示“未读消息” 向外求索的情绪稳定:一场注定疲惫的追逐 关于“习惯性吐槽”的一些思考 设计AI双生子:选星流还是Lovart,取决于你的需求而非价格 EvanMi 全新升级:米表从此更好用 两大开源 AI 框架对比:DeerFlow 和 OpenClaw 有何不同? MiMo-V2系列模型(MiMo-V2-Pro & MiMo Claw) SSL.CAB:让HTTPS证书像空气一样存在,却从不过期 如何网申QClaw第二批内测邀请码 别信一见钟情,网站都是”养成系” 宝塔面板实现域名纯跳转完整教程 AI 上战场?这档播客扒清了 Claude 参战的真相 什么才是未来教育的核心价值? 播播鸡“食用”指南:在中文播客的街角,与惊喜不期而遇 我用 Anygen 把中文播客圈‘鸡’化了:一份零代码榜单的诞生记 且听App:罗永浩的AI讲书新作,如何用声音重塑阅读? 捷径的悖论:为什么最快的路,往往走得最远?
xmlrpc.php 是什么?为什么它成了黑客的最爱?
Evan · 2026-03-26 · via Evan's Space

最近我的网站后台频繁出现针对 /xmlrpc.php 的恶意请求,看着大量扫描和攻击日志,实在影响服务器稳定。今天就用最直白的话,讲清楚这个文件为什么总被攻击,以及最有效、最彻底的解决办法。

xmlrpc.php 被攻击截图

一、xmlrpc.php 到底是什么?

/xmlrpc.php 是 WordPress 早期自带的一个远程接口文件,主要用于远程发布、文章同步、站内通知等功能。

但现在 WordPress 已经有了更安全的 REST API,99% 的网站根本用不上 xmlrpc.php,它反而成了黑客最喜欢攻击的目标。

二、为什么它总被攻击?
1. 暴力破解效率极高

不同于后台登录页一次只能试一个密码,xmlrpc.php 允许一次请求批量尝试几十上百组账号密码,黑客很容易绕过防护,暴力破解成功率极高。

2. 能被用来发起 DDoS 攻击

黑客可以利用 pingback 机制,让你的服务器去请求其他网站,把你的机器变成攻击肉鸡,严重消耗带宽和资源。

3. 历史漏洞多、扫描成本极低

几乎所有 WordPress 站点默认都存在这个文件,黑客用工具批量扫描即可命中,攻击成本极低,因此被频繁盯上。

4. 请求会直接消耗服务器资源

哪怕你关闭了功能,只要文件能访问,攻击请求依然会占用 PHP 进程、硬盘日志、服务器性能。

三、最有效的解决方法:服务器层直接拦截(推荐)

很多人会用代码关闭 xmlrpc 功能,但请求依然会进入 WordPress,治标不治本。

真正安全的做法是:

在服务器层面直接拦截,让请求连 PHP 都碰不到。

下面提供 Nginx 和 Apache 两种环境的配置,你用哪种就加哪种。

四、Apache 环境配置(.htaccess)

如果你的服务器是 Apache,直接在网站根目录的 .htaccess 文件最顶部加入:

apache

# 屏蔽 xmlrpc.php 攻击
<Files "xmlrpc.php">
Require all denied
</Files>

添加后直接生效,无需重启服务。

五、Nginx 环境配置

在网站的 Nginx 配置文件的 server {} 内添加:

nginx

# 彻底屏蔽 xmlrpc.php 攻击
location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}

添加后重启 Nginx 即可生效。

六、两种拦截方式对比
1. Apache 配置

优点:无需重启服务,修改方便,适合虚拟主机

效果:直接拒绝访问,安全可靠

2. Nginx 配置

优点:效率最高,不记录攻击日志,不占服务器资源

效果:最彻底、最稳定,是生产环境首选

七、验证是否成功

访问:

你的域名/xmlrpc.php

如果返回:

403 Forbidden

说明防御已100% 生效

八、不推荐:只在 wp-config.php 里关闭

很多教程会让你加一行代码:

php

运行

add_filter('xmlrpc_enabled', '__return_false');

但这种方式只能关闭功能,不能拦截请求,攻击依然会打到你的服务器,消耗资源。

所以:

能在服务器拦截,就不要用代码关闭。

九、总结

/xmlrpc.php 是 WordPress 历史遗留的高风险入口,对普通网站毫无用处,却会带来大量攻击。

只需要 1 分钟配置:

  • Apache → 加 .htaccess 规则
  • Nginx → 加一段 location 配置

就能让你的网站减少 90% 的恶意扫描和暴力破解

如果你也被这类攻击骚扰,建议立刻加上。如果你有更好的方式欢迎交流!!

© 2026 EVAN.XIN · Attribution Required