it-swarm.com.de

Wie kann man XML-RPC von der Linux-Kommandozeile aus komplett deaktivieren?

Ich habe am Ende von dieser Anleitung gelesen, was die Verwendung von SSHguard zum Schutz von WordPress vor Brute-Force-Angriffen angeht. Nach der Konfiguration von SSHguard muss man:

deaktivieren Sie XML-RPC, indem Sie den gesamten Remotezugriff auf /xmlrpc.php in Ihrer Webserverkonfiguration blockieren.

  • Ich verwende XML-RPC auf keiner meiner Websites.

  • Ich benutze Nginx als meinen Webserver.

Ich bin mir nicht sicher, wie XML-RPC am besten vollständig blockiert werden kann. Nginx conf für jede Site? WP-CLI-Betrieb pro Site?

Was ist der übliche Weg dazu?

2
Arcticooling

Fügen Sie unter nginx zum Blockieren des Zugriffs auf die Datei xmlrpc.php diesen Standortblock zum Serverblock Ihrer Konfigurationsdatei hinzu:

location ~ ^/(xmlrpc\.php) {
  deny all;
}
4
Nathan Johnson

Hier ist eine bessere Möglichkeit, mit NginX umzugehen (und wie mein Arbeitgeber damit umgeht). Dies gibt tatsächlich eine "Verbotene" Nachricht zurück.

location /xmlrpc.php { return 403; }

Alle, die behaupten, dass es sich nicht um ein Sicherheitsrisiko handelt, sind sich der Hacks, die mit Wordpress 4.7.2 (möglicherweise eine 4.5-fache Version) aufgetreten sind, bei denen es in Wordpress ein tatsächlich ausnutzbares Risiko gab, da xmlrpc.php-Anforderungen dies nicht taten, kaum bewusst ordnungsgemäß saniert werden.

Realistisch gesehen sollte niemand den Zugriff auf xmlrpc.php deaktivieren, wenn er das Jetpack-Plugin von Wordpress.com verwendet.

0
BearlyDoug