最近很少管博客，今天无聊到一个倒霉的孩纸那里看了一下，发现一篇关于XML-RPC协议安全的文章。虽然他是被DDOS攻击的，和XML-RPC应该没有什么关系，不过他还是果断关掉了，那个功能。（该被DDOS还是会继续的）

不过所谓XML-RPC带来的安全隐患，应该要从他的功能方面说起，一般博客程序都会有一个API接口，也就是xmlrpc.php文件，它可以使用POST进行登陆，发布文章……等等等等，很多的功能，也就是个网站管理的支持，之所以会有安全隐患，会被攻击，我想这个唯一的功能，应该就是进行密码猜想了吧！

密码猜想就是通过批量发起密码登录，被攻击？如果这不是的话，他所带来的副作用，应该就是多线程测试惹的祸吧，速度过快，还可以兼顾DDOS的功能，所以说“被攻击了”主要目标应该还是来获取你的帐号密码吧！

其实XML就是个格式和json没什么两样，同样也是接口文件的输出，都差不多。

但是一般来说，直接用wordpress的孩纸们，要这个接口又有什么卵用，好像是没有~除非你用WordPress客户端！

不过我看了一下他的方法，自我感觉太烦了还影响效率！尤其是他的第三种，对于密码猜想好像没有什么卵用！

小幻给出一个最直接的方法，直接修改or删掉xmlrpc.php文件，让他不存在，世界就安静了！

直接提示404错误，对方应该就不会持续太久了，要是用过滤器的话，对方可不知道！还是会继续的，，导致变相DDOS攻击开始了！

其实就是通过发出请求，然后解析返回的XML文件，判断。然后就成了一个安全隐患咯！

其实无聊的小学生不多，除非你和他有仇！( •̀ ω •́ )不要以我为目标，小站攻击，分分钟挂掉！

最后，加上被攻击孩纸的 相关文章

http://www.loverobots.cn/make-your-wordpress-more-secure-xml-rpc-publishing-control-plugin.html

好了，就这些，再次潜水……不要无聊对他人站点进行攻击，这样损人不利己的事情，请最好不要玩哟！