Wie kann man XML-RPC von der Linux-Kommandozeile aus komplett deaktivieren?
Ich habe am Ende von dieser Anleitung gelesen, was die Verwendung von SSHguard zum Schutz von WordPress vor Brute-Force-Angriffen angeht. Nach der Konfiguration von SSHguard muss man:
deaktivieren Sie XML-RPC, indem Sie den gesamten Remotezugriff auf /xmlrpc.php in Ihrer Webserverkonfiguration blockieren.
Ich verwende XML-RPC auf keiner meiner Websites.
Ich benutze Nginx als meinen Webserver.
Ich bin mir nicht sicher, wie XML-RPC am besten vollständig blockiert werden kann. Nginx conf für jede Site? WP-CLI-Betrieb pro Site?
Was ist der übliche Weg dazu?
Fügen Sie unter nginx zum Blockieren des Zugriffs auf die Datei xmlrpc.php diesen Standortblock zum Serverblock Ihrer Konfigurationsdatei hinzu:
location ~ ^/(xmlrpc\.php) {
deny all;
}
Hier ist eine bessere Möglichkeit, mit NginX umzugehen (und wie mein Arbeitgeber damit umgeht). Dies gibt tatsächlich eine "Verbotene" Nachricht zurück.
location /xmlrpc.php { return 403; }
Alle, die behaupten, dass es sich nicht um ein Sicherheitsrisiko handelt, sind sich der Hacks, die mit Wordpress 4.7.2 (möglicherweise eine 4.5-fache Version) aufgetreten sind, bei denen es in Wordpress ein tatsächlich ausnutzbares Risiko gab, da xmlrpc.php-Anforderungen dies nicht taten, kaum bewusst ordnungsgemäß saniert werden.
Realistisch gesehen sollte niemand den Zugriff auf xmlrpc.php deaktivieren, wenn er das Jetpack-Plugin von Wordpress.com verwendet.