web-dev-qa-db-ja.com

LinuxのコマンドラインからXML-RPCを無効にする方法は?

このガイド の利用に関して SSHguard を適切な方法でSSHguardを設定した後にブルートフォース攻撃からWordPressを保護するために/私は読んでください:

webサーバー設定で/xmlrpc.phpへのすべてのリモートアクセスをブロックして、XML-RPCを無効にします。

  • 私は自分のWebサイトでXML-RPCを使用していません。

  • 私は自分のWebサーバーとしてNginxを使用しています。

XML-RPCを完全にブロックするための最善の方法が何であるかわかりません。各サイトのNginxのconf?サイトごとのWP-CLI操作

そのための一般的な方法は何ですか?

securitywp-clixml-rpccommand-linessh
2
Arcticooling

Nginxでxmlrpc.phpファイルへのアクセスをブロックするには、このlocationブロックを設定ファイルのserverブロックに追加します。

location ~ ^/(xmlrpc\.php) {
  deny all;
}
4
Nathan Johnson

これがNginXでそれを処理するためのより良い方法です(そして私の雇用主がどうやってそれをしているのか)。これは実際には「禁止」メッセージを返します。

location /xmlrpc.php { return 403; }

セキュリティリスクではないと言う人は誰でも、xmlrpc.php要求が実際には悪用されなかったためにWordpressに実際に悪用可能なリスクがあったWordpress 4.7.2(4.5xリリースかもしれません)で起こったハックに気付かれずに気付きません。適切に消毒されている。

現実的には、誰もがxmlrpc.phpへのアクセスを無効にしてはいけないのは、Wordpress.comのJetpackプラグインを使用している場合だけです。

0
BearlyDoug