Mấy hôm trước, đột nhiên website của mình chậm đi rất nhiều! Kiểm tra access log của Nginx thấy rất nhiều request tới file xmlrpc.php của Blog. Qua tìm hiểu trên internet, mình được biết đây là 1 kiểu tấn công nhằm vào Website / Blog WordPress nhằm đánh cắp thông tin tài khoản đăng nhập. Vì vậy mình đã tìm hiểu được 1 số cách để ngăn chặn nó.
Dưới đây là 4 cách để vô hiệu hóa XML-RPC trên WordPress
- Vô hiệu hóa XML-RPC bằng source
- Sử dụng Plugin ” Disable XML-RPC-API“
- Vô hiệu hóa bằng file .htaccess
- Sửa file config của Nginx
Vô hiệu hóa XML-RPC bằng source
Thêm dòng code bên dưới vào file functions.php của WordPress
add_filter('xmlrpc_enabled', '__return_false');
Sử dụng Plugin ” Disable XML-RPC-API”
Link tải Plugin: https://wordpress.org/plugins/disable-xml-rpc-api/
Bạn có thể search trong mục Plugin của WordPress và dễ dàng kích hoạt chỉ với 1 click
Vô hiệu hóa bằng file .htaccess
Ngoài ra bạn có thể vô hiệu hóa bằng cách chèn đoạn code sau vào file .htaccess
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
Sửa file config của Nginx
Bạn có thể thiết lập file config của Nginx tại địa chỉ: /etc/nginx/site-avaiables/default như sau:
location /xmlrpc.php {
deny all;
}
Sau đó restart lại nginx server.
Nguồn: vinasupport.com
