Disable XML-RPC-API for WordPress

如果您运行 WordPress 网站已有一段时间，您可能听说过有关 XML-RPC 成为黑客或机器人攻击您登录的大好时机的恐怖故事。是的，这就是促使我尝试禁用 WordPress 的 XML-RPC-API 的原因。这是一个简单的插件，基本上可以关闭许多攻击目标的 XML-RPC 接口，因此您的网站不会陷入火线。我不确定这有多重要，直到我看到我的服务器在设置后 CPU 使用率下降了，而且知道又一扇门锁紧了，我感觉好多了。

好东西

真正令我印象深刻的是它的设置非常简单。没有复杂的配置或奇怪的权限。只需安装、激活，boom-XML-RPC 访问就会被禁用。我还喜欢它不只是盲目地阻止 xmlrpc.php。如果需要，您可以将 IP 列入白名单，如果您使用仍需要 XML-RPC 的远程应用程序或合法服务，这会很方便。另外，它还可以清理不仅烦人而且还可能被用于 DDoS 攻击的 pingback 链接，因此这是一个很好的额外好处。

另一个很酷的地方是可以重命名 XML-RPC slug 或禁用 JSON REST API。我个人并没有过多地处理这些问题，但很高兴拥有这些额外的功能，可以更好地控制您的网站与外界的通信方式。并隐藏您的 WordPress 版本？让爱管闲事的黑客继续猜测总是好的。

不太好的

事情是这样的——这个插件非常简单。没有华丽的仪表板或持续的提醒，有些人可能会觉得过于低调。如果您在 Jetpack 或某些移动应用程序等方面严重依赖 XML-RPC，那么除非您修改白名单，否则这可能会破坏您的工作流程。另外，关于谁制作了这个或者更新频率的信息并不多，这让我一开始犹豫了。安全插件需要保持敏锐，否则它们可能会变得毫无用处，所以我希望在长期依赖它之前看到更多的透明度。

最后，它没有免费试用版或高级版本，但说实话，就其功能而言，这很好。

底线

如果您正在运行 WordPress 网站，并且想要一种快速、简单的方法来阻止 XML-RPC 攻击，那么禁用 WordPress 的 XML-RPC-API 值得一试。它是免费的、简单的，一旦开启，你可能会忘记它，而你的服务器会更加放松。如果您出于合法原因需要 XML-RPC，请不要指望它会取代完整的安全套件或提供帮助。对于大多数人来说，尤其是那些不使用远程 WordPress 应用程序的人，这个插件可以完成这项工作，并使事情变得更安全，而无需大惊小怪。