WordPress xmlrpc.php 存在SSRF漏洞

如果不使用离线发布文章,可以直接删掉xmlrpc.php这个文件,但是每次升级wordpress这个文件又会回来。彻底解决问题的办法,可以考虑通过APACHE的.htaccess屏蔽xmlrpc.php文件的访问。

配置代码如下:

# protect xmlrpc
<Files "xmlrpc.php">
Order Allow,Deny
Deny from all
</Files>

完美解决

Leave a Reply

Your email address will not be published. Required fields are marked *