当前位置:首页 > WordPress > 正文

关于WordPress密码暴力破解、XML-RPC协议的一些事

最近很少管博客,今天无聊到一个倒霉的孩纸那里看了一下,发现一篇关于XML-RPC协议安全的文章。虽然他是被DDOS攻击的,和XML-RPC应该没有什么关系,不过他还是果断关掉了,那个功能。(该被DDOS还是会继续的)

不过所谓XML-RPC带来的安全隐患,应该要从他的功能方面说起,一般博客程序都会有一个API接口,也就是xmlrpc.php文件,它可以使用POST进行登陆,发布文章……等等等等,很多的功能,也就是个网站管理的支持,之所以会有安全隐患,会被攻击,我想这个唯一的功能,应该就是进行密码猜想了吧!

密码猜想就是通过批量发起密码登录,被攻击?如果这不是的话,他所带来的副作用,应该就是多线程测试惹的祸吧,速度过快,还可以兼顾DDOS的功能,所以说“被攻击了”主要目标应该还是来获取你的帐号密码吧!

其实XML就是个格式和json没什么两样,同样也是接口文件的输出,都差不多。

但是一般来说,直接用wordpress的孩纸们,要这个接口又有什么卵用,好像是没有~除非你用WordPress客户端!

不过我看了一下他的方法,自我感觉太烦了还影响效率!尤其是他的第三种,对于密码猜想好像没有什么卵用!

小幻给出一个最直接的方法,直接修改or删掉xmlrpc.php文件,让他不存在,世界就安静了!

直接提示404错误,对方应该就不会持续太久了,要是用过滤器的话,对方可不知道!还是会继续的,,导致变相DDOS攻击开始了!


其实就是通过发出请求,然后解析返回的XML文件,判断。然后就成了一个安全隐患咯!

其实无聊的小学生不多,除非你和他有仇!( •̀ ω •́ )不要以我为目标,小站攻击,分分钟挂掉!

最后,加上被攻击孩纸的 相关文章

http://www.loverobots.cn/make-your-wordpress-more-secure-xml-rpc-publishing-control-plugin.html

好了,就这些,再次潜水……不要无聊对他人站点进行攻击,这样损人不利己的事情,请最好不要玩哟!

标签:
上一篇: 下一篇:

17 条评论

评论加载中...
  1. 12楼
    来自天朝的朋友 Safari浏览器  Android 4.2.2 X909T Build/JDQ39
    南国掌柜  

    看来那个文件是该删了……

    2015年9月13日 22:28 评论
  2. 11楼
    来自天朝的朋友 QQ浏览器 Windows 10
    Mickey  

    短时间内多次访问扔小黑屋拒绝请求呢

    2015年7月12日 08:05 评论
    • 幻殺あ殤璃  

      话说,把自己丢小黑屋,什么感觉

      2015年7月12日 09:37 评论
      • Mickey  

        跟我刚刚服务器宕机的感觉应该差不多_(:з」∠)_

        2015年7月12日 10:54 评论
        • 幻殺あ殤璃  

          就是作死的感觉

          2015年7月12日 11:47 评论

发表评论

不理你。不要啊!吃饭。吃惊。吃西瓜。飞吻!恭喜!Hi纠结!膜拜!OK抛媚眼。泡泡糖。抛钱。忍!生闷气!调皮。偷看。委屈。献花。疑问?抓狂!

小提示:Ctrl+Enter快速提交助您一臂之力~
加载中……