WordPress之XML-RPC安全

XML-RPC的全称 XML Remote Procedure Call ，即XML远程过程调用，允许跨平台网络的调用传输协议，请求体XML的http-post请求。WordPress包含了完整的RPC服务端代码， 支持对文章，媒体，留言，分类，选项等等各方面数据的管理 。有很多客户端可以与之使用，也就是可以不使用WordPress自带的后台来写文章。一般人，可能用不上，所以最好关闭，默认是开启的。 如果开启，将会被大量的脚本攻击，这算是一个很基础的漏洞攻击，这些脚本会刷ip通过XML-RPC的方式去攻击写入数据，并尝试破解密码，频率相当高，如果你的密码强度不高的话。。。。可想而知。如下：

这里提供如下的关闭方法：

插件方式

安装Control XML-RPC publishing插件

比较简单方便的方法是安装这个Control XML-RPC publishing插件，虽然是3年前的插件了，但是实际安装后并没有什么问题。（ 在不影响多少性能的情况下，还是插件比较方便。这大概也是WordPress为什么会存在插件的原因了。） 启用此插件后，会默认关闭XML-RPC协议。而且，还可以通过后台设置重新开启，算是比较方便的。

插件下载链接

代码方式

实在不喜欢用插件的小伙伴，这里也给小伙伴们分享来自（知更鸟）的方法。

1、在主题functions.php文件中添加以下代码，即可直接关闭XML-RPC协议。

 add_filter('xmlrpc_enabled', '__return_false');

2、不想影响第三方离线发表文章功能的，可以只关闭XML-RPC的pingback端口，同样在functions.php文件中加入以下代码。

function remove_xmlrpc_pingback_ping( $methods ) {    
   unset( $methods['pingback.ping'] );    
   return $methods;    
}