简单地删除XMLRPC文件

Question

我从未将XMLRPC用于我的WordPress站点的任何活动，也不会使用XMLRPC。

在您的站点上有许多关于禁用XMLRPC以提高安全性的文章。在我讨论过的用例场景中，如果不需要该服务，为什么要解散它或使它更安全？我只想简单地删除xmlrpc.php。如果我删除它会不会导致错误？

Answer 1

您不应该删除该文件-它将在更新后恢复-因此删除它是没有意义的(并且它不应该被视为安全修复)。

可以使用筛选器禁用XMLRPC：

add_filter('xmlrpc_enabled', '__return_false');

甚至阻止对文件的访问。下面是Apache的代码(sandrodz显示了nginx的代码)：

<Files xmlrpc.php>
    Order deny,allow
    Deny from all
</Files>

Answer 2

正如注释中提到的，如果您删除该文件，更新WP将使其恢复。

最好在服务器级别阻止它。在nginx中，我做以下工作：

# Disable xmlrpc.php it is being abused by script kiddies
location ~ xmlrpc.php {
    deny all;
    access_log off;
    log_not_found off;
    return 444;
}