爱站程序员基地Online Mo 在 使用WP的牢们,一定要安装Disable XML-RPC插件啊(怎么什么网站都有人爆破啊 中发帖
事故起因
https://linux.do/t/topic/1206524
▶
啊
经过
我在论坛中这两个帖子发了我的网站之后,一直有人爆破我的WP
[image]
用的是/xmlrpc.php这个路径,我早上一打开邮箱,看到了50多封登录失败的邮件(攻击者使用50多个IP对我的网站进行攻击),一旦被攻破,服务器成为肉鸡,后果不堪设想
默认WordPress是开启/xmlrpc.php的Post请求的,这个地址可以使用高并发的api爆破密码,常见的DDos和爆破都是使用这个路径
并且xmlrpc.php 允许通过 XML-RPC 协议调用 WordPress 的 API,包括用户认证。若未加以限制,攻击者可利用它发起大量登录尝试,绕过常规登录页面的限速或验证码机制。
解决
后来(18号凌晨两点钟),我安装了Disable XML-RPC插件彻底禁用 xmlrpc.ph…
详情链接:
https://linux.do/t/topic/1342863/1
来源: LINUX DO, 消息ID: 263368
![散装江苏 (@is_hp) 在 [水水水水水]“围城” 中发帖
从光速水个话题:我《一不小心》拥有了公网 IP继续讨论:
也许,这就是个围城。
外边的人进不去(申请不到),里面的人……不知...-爱站程序员基地](https://aiznh.com/wp-content/uploads/2021/05/9-220x150.jpeg)