宝塔面板Nginx环境下虽然可以部署免费WAF防火墙和百度开源RASP,但我仔细看了一下规则,并没有限制对WordPress根目录下的xmlrpc.php进行访问限制,xmlrpc.php用于允许外部应用程序与WordPress数据交互,它可以允许添加、创建或删除文章等,是一种常见的攻击媒介,因此我们应该在Nginx规则中通过allow允许信任的ip请求访问,宝塔面板在Nginx设置配置文件处加入以下代码,这样的话浏览器访问xmlrpc.php就会返回403错误响应代码。
location ~* /xmlrpc.php$ {
allow 172.0.1.1;
deny all;
}
暂无评论