最近我的网站后台频繁出现针对 /xmlrpc.php 的恶意请求，看着大量扫描和攻击日志，实在影响服务器稳定。今天就用最直白的话，讲清楚这个文件为什么总被攻击，以及最有效、最彻底的解决办法。 xmlrpc.php 被攻击截图 一、xmlrpc.php 到底是什么？ /xmlrpc.php 是 WordPress 早期自带的一个远程接口文件，主要用于远程发布、文章同步、站内通知等功能。 但现在 WordPress 已经有了更安全的 REST API，99% 的网站根本用不上 xmlrpc.php，它反而成了黑客最喜欢攻击的目标。 二、为什么它总被攻击？ 1. 暴力破解效率极高 不同于后台登录页一次只能试一个密码，xmlrpc.php 允许一次请求批量尝试几十上百组账号密码，黑客很容易绕过防护，暴力破解成功率极高。 2. 能被用来发起 DDoS 攻击 黑客可以利用 pingback 机制，让你的服务器去请求其他网站，把你的机器变成攻击肉鸡，严重消耗带宽和资源。 3. 历史漏洞多、扫描成本极低 几乎所有 WordPress 站点默认都存在这个文件，黑客用工具批量扫描即可命...