WordPress xmlrpc.php 完整指南(它是什么、安全风险以及如何禁用它)
Dec 14, 2023 7:04:54 GMT
Post by account_disabled on Dec 14, 2023 7:04:54 GMT
ess XML-RPC 规范的开发是为了标准化不同系统之间的通信,这意味着 WordPress 之外的应用程序(例如其他博客平台和桌面客户端)可以与 WordPress 本身进行交互。 该规范自 WordPress 诞生以来一直是其一部分,并且做了非常有用的工作。如果没有它,WordPress 就会处于自己的孤岛中,与互联网的其他部分分离。 然而,xmlrpc.php 有其缺点。它可能会给您的 WordPress 网站引入漏洞,现在已被WordPress REST API取代,后者在向其他应用程序开放 WordPress 方面做得更好。 在本文中,我们将解释 xmlrpc.php 是什么以及为什么您应该禁用它,并帮助您确定它是否在您的 WordPress 网站上运行。 准备好?开始吧! 什么是 xmlrpc.php? XML-RPC 是一种允许 WordPress 和其他系统之间进行通信的规范。通过标准化这些通信、使用 HTTP 作为传输机制、使用 XML 作为编码机制,可以做到这一点。
XML-RPC 早于 WordPress:它出现在 b2 博客软件中,WordPress 分支于 2003 年诞生。系统背后的代码 电话号码清单 存储在站点根目录中名为xmlrpc.php的文件中。尽管 XML-RPC 基本上已经过时,但它仍然存在。 在 WordPress 的早期版本中,XML-RPC 默认处于禁用状态。但从3.5版本开始,它已经默认启用。主要原因是允许 WordPress 移动应用程序与WordPress 安装进行对话。 如果您在 3.5 版本之前使用过 WordPress 移动应用程序,您可能记得必须在站点上启用 XML-RPC 才能使应用程序提供内容。这是因为该应用程序本身并不使用 WordPress,而是一个单独的应用程序,使用 xmlrpc.php 与您的 WordPress 站点进行通信。 但它不仅仅用于 XML-RPC 的移动应用程序:它还用于实现 WordPress 和其他博客平台之间的通信,它启用了引用和pingback ,并且它为Jetpack 插件提供了支持,该插件连接了自托管的WordPress 网站位于 WordPress.com。
但是,由于 REST API 已集成到 WordPress 核心中,因此文件不再用于此通信。相反,REST API 用于与 WordPress 移动应用程序、桌面客户端、其他博客平台、WordPress.com(用于 Jetpack 插件)以及其他系统和服务进行通信。REST API 可以交互的系统范围比 xmlrpc.php 允许的范围要广泛得多。另外,还有更多的灵活性。 由于 REST API 已取代 XML-RPC,因此您现在应该在站点上禁用 xmlrpc.php。让我们看看为什么。 为什么应该禁用 xmlrpc.php 您应该在 WordPress 网站上禁用 xmlrpc.php 的主要原因是因为它会引入安全漏洞并可能成为攻击目标。 既然不再需要 XML-RPC 在 WordPress 外部进行通信,就没有理由再让它保持活动状态。这就是为什么通过禁用它来使您的网站更加安全是明智的做法。 如果 xmlrpc.php 是一个安全漏洞并且不再做任何有用的工作,为什么它没有从 WordPress 中完全删除? 原因是 WordPress 的关键功能之一始终是向后兼容性。如果您管理好您的网站,您就会知道保持 WordPress 最新以及定期更新任何插件或主题至关重要。
XML-RPC 早于 WordPress:它出现在 b2 博客软件中,WordPress 分支于 2003 年诞生。系统背后的代码 电话号码清单 存储在站点根目录中名为xmlrpc.php的文件中。尽管 XML-RPC 基本上已经过时,但它仍然存在。 在 WordPress 的早期版本中,XML-RPC 默认处于禁用状态。但从3.5版本开始,它已经默认启用。主要原因是允许 WordPress 移动应用程序与WordPress 安装进行对话。 如果您在 3.5 版本之前使用过 WordPress 移动应用程序,您可能记得必须在站点上启用 XML-RPC 才能使应用程序提供内容。这是因为该应用程序本身并不使用 WordPress,而是一个单独的应用程序,使用 xmlrpc.php 与您的 WordPress 站点进行通信。 但它不仅仅用于 XML-RPC 的移动应用程序:它还用于实现 WordPress 和其他博客平台之间的通信,它启用了引用和pingback ,并且它为Jetpack 插件提供了支持,该插件连接了自托管的WordPress 网站位于 WordPress.com。
但是,由于 REST API 已集成到 WordPress 核心中,因此文件不再用于此通信。相反,REST API 用于与 WordPress 移动应用程序、桌面客户端、其他博客平台、WordPress.com(用于 Jetpack 插件)以及其他系统和服务进行通信。REST API 可以交互的系统范围比 xmlrpc.php 允许的范围要广泛得多。另外,还有更多的灵活性。 由于 REST API 已取代 XML-RPC,因此您现在应该在站点上禁用 xmlrpc.php。让我们看看为什么。 为什么应该禁用 xmlrpc.php 您应该在 WordPress 网站上禁用 xmlrpc.php 的主要原因是因为它会引入安全漏洞并可能成为攻击目标。 既然不再需要 XML-RPC 在 WordPress 外部进行通信,就没有理由再让它保持活动状态。这就是为什么通过禁用它来使您的网站更加安全是明智的做法。 如果 xmlrpc.php 是一个安全漏洞并且不再做任何有用的工作,为什么它没有从 WordPress 中完全删除? 原因是 WordPress 的关键功能之一始终是向后兼容性。如果您管理好您的网站,您就会知道保持 WordPress 最新以及定期更新任何插件或主题至关重要。