XML-RPC 是 WordPress 的 API, 给开发者开发手机 Apps, 桌面应用程式或其他服务时, 可以跟 WordPress 沟通, 从远端能达到很多需要登入 WordPress 后台才能做的工作。xmlrpc.php 则是负责这个 API 的档案, 而很多针对 WordPress 的 DDOS 攻击也是针对这个档案。
早前在一台 VPS 上面, MySQL 的使用资源很高, 停止 Apache 后便没有问题, 查看 Apache 的纪录档后, 发现有大量存取 xmlrpc.php 的纪录, 平均每秒钟有几个存取的纪录, 由于攻击的 ip 有十多个, 所以还没有给 mod_evasive 拦截。
解决方法除了逐一拦截那些 ip 外, 就是直接禁止存取 xmlrpc.php 档案, 原因是我应该不会用到那个功能。
以下设定可以放在 httpd.conf 或 .htaccess, 如果加到 httpd.conf, 需要重新启动 Apache:
|
1 2 3 4 |
<Files xmlrpc.php> order deny,allow deny from all </Files> |
当有人尝试存取 xmlrpc.php 时, 会回传 403 Forbidden, 而加入以上设定后, 主机的状况立即回复正常。