Comment désactiver XML-RPC à partir d'une ligne de commande Linux de manière totale?
J'ai lu vers la fin de le présent guide en ce qui concerne l'utilisation de SSHguard pour protéger WordPress des attaques par force brute qui, après avoir configuré SSHguard de manière appropriée, il est nécessaire de:
désactivez XML-RPC en bloquant tout accès à distance à /xmlrpc.php dans la configuration de votre serveur Web.
Je n'utilise pas XML-RPC dans aucun de mes sites Web.
J'utilise Nginx comme serveur Web.
Je ne sais pas quel est le meilleur moyen de bloquer totalement XML-RPC. Nginx conf pour chaque site? Opération WP-CLI par site?
Quelle est la façon habituelle de le faire?
Sur nginx, pour bloquer l’accès au fichier xmlrpc.php, ajoutez ce bloc d’emplacement au bloc serveur de votre fichier de configuration:
location ~ ^/(xmlrpc\.php) {
deny all;
}
Voici un meilleur moyen de gérer cela sur NginX (et comment mon employeur le fait). Cela renvoie en fait un message "Interdit".
location /xmlrpc.php { return 403; }
Toute personne qui dit que ce n’est pas un risque pour la sécurité n’ignore pas du tout les hacks qui ont commencé à se produire avec Wordpress 4.7.2 (il pourrait s’agir d’une version 4.5x), où il existait un risque exploitable réel dans Wordpress en raison de l’absence de demandes xmlrpc.php. être correctement désinfecté.
De manière réaliste, le seul moment où quelqu'un ne devrait pas désactiver l'accès à xmlrpc.php, c'est s'ils utilisent le plugin Jetpack de Wordpress.com.