wordpress安全设置

无聊查看网站日志,发现两个ip不断在登陆网站后台/wp-login.php和访问/xmlrpc.php,登陆后台能够理解想进入我的网站,但是为啥访问xmlrpc.php我不理解,然后就百度搜了下xmlrpc.php.发现这个是wordpress一种有名的攻击方式, 这个东西是用来支持离线发布协议的,一般用windows live write的同学就需要开启该服务!但是开启就有风险,wordpress3.5以后默认开启该服务,需要关闭or屏蔽or跳转!

防止恶意后台登录的办法

在网站模板文件functions.php中添加如下代码

//保护后台登录
add_action('login_enqueue_scripts','login_protection');  
function login_protection(){  
    if($_GET['word'] != 'press')header('Location: http://www./');  
}

其中访问路径为http://yoursite/wp-login.php?word=press    ,您可以修改其中的word,press,http://www./这三个数值,然后登录后台如果不是http://yoursite/wp-login.php?word=press就会自动跳转到您网站的首页.

由于本人使用的虚拟云主机,系统为nginx,没看到.htaccess文件,网上搜解决办法比较麻烦,索性直接关闭xmlrpc.php服务,方法如下

在functions.php中添加如下代码