私は自己ホスト型のWordpress 3.5ブログを所有しています。私はそのセキュリティに取り組んでいます、そして、私は作家以外の人が彼らがすべきでない管理者っぽいものにアクセスするのを防ぐことを試みています。
最近私は試した より良いWordpressのセキュリティ 、私は本当に彼らが持っているhtaccessの提案のいくつかが好きだった。/wp-admin /が一意のキーで隠れている場合は、ループホールがいくつかありますが、ログアウトクエリを使用してキーを特定できます。とにかく、私の/ wp-admin /とwp-login.phpが404を見つけられなかったと仮定すると、私は自動化されたボットが私に打つのをやめるだろうと思いました。しかし、そうではありませんでした。私はまだサイトロックアウト通知を受け取っています。
私の推測では、Wordpressにはリモートログインのための他の標準的なルートがあり、攻撃者はまだそれを悪用しようとしています。それについての文書や設定の中に何かが見つかりません。しかし、今週初めに私たちの作家の一人が私のWordpressに彼のスマートフォンを通して書くことについて私に尋ねました。このAndroid/iOSアプリがあります。それで私はそれを試してみました、そして私はそれが正常なルートが今404を返すのでうまくいかないと思いました。しかし私は実際にアプリでうまくログインできた。それでそれはどのように動作します - それはどこにクエリを送信しますか?
要するに、私はWordpressログインがどのように機能するかについての説明/記事を本当に使うことができました。
注:私は現在/ wp-admin /の上にbasicauthを持っていません
私はそれがどのように通信するかを見るために私はちょうど Androidアプリケーションのソースコード を見るだけでいいと考えました。ソースにXML-RPCがすぐにあります。
そのため、ブログにアクセスする別の方法は、 Wordpress XML-RPC サポートを使用することです。ごく最近、バージョン3.5ではデフォルトで改善され有効になっています。なぜ彼らがそれをオフにするオプションなしでそれを元に戻したのか理解できません。 2.6までオンになっていましたが、その後デフォルトでオフになり、現在は3.5に戻っています
だから私はこの記事を見つけた。 Wordpressが尊重する1行のコードで、XML-RPCを無効にする方法を説明しています。
wp-cinfig.php
ファイルで、require_once(ABSPATH . 'wp-settings.php');
の後にこの行を追加します。
add_filter('xmlrpc_enabled', '__return_false');
これは私がAndroidアプリケーションから持っていたどんなアクセスも完全に無効にしました。今のところ、私は悪いログインによるサイトのロックアウトの通知を受け取っていません。
注:無効にする前に、BWPSがxmlrpcからの不正なログインもスキャンすることを確認するためのテストを行いました。自分の携帯電話を3gでロックアウトして、後で電子メールで通知を受け取りました。そうでなければ、この理論全体が疑問になるでしょう。それで、あなた自身を支持して今xmlrpcを無効にしてください!あなたが実際にそれを使用し、トルコのIPアドレスからの絶え間ない攻撃を受けていないのでなければ。