阿里云检出WordPress xmlrpc.php 存在SSRF漏洞解决方法2023-6-20更新

【所有wordpress网站 必做】

2023-6-20 更新方法：

删除根目录下的xmlrpc.php  会在下次更新时候又恢复，所以最新办法是：

把 xmlrpc.php  文件权限改为 000（如图），这样我感觉就可以了，更新也改不了它，外部也访问不了！

WordPress xmlrpc.php 存在SSRF漏洞安全建议

通过.htaccess屏蔽xmlrpc.php文件的访问 # protect xmlrpc Order Deny,Allow Deny from all

删除根目录下的xmlrpc.php。

WordPress xmlrpc.php 存在SSRF漏洞具体解决方法：

Apache 可以通过在 .htaccess 文件前面添加以下代码【宝塔的话直接加在伪静态规则最前面】：

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

nginx 服务器可以添加下面的规则【宝塔的话直接加在伪静态规则最前面】：

location ~* ^/xmlrpc.php$ {
return 403;
}

Nginx 如果失效可以尝试在wp主题functions.php文件中添加：

同时还移除了不需要的RDS  和 wlwmanifest.xml

//关闭XML-RPC的pingback端口
add_filter('xmlrpc_enabled', '__return_false');

// 移除 wlwmanifest.xml
remove_action('wp_head', 'wlwmanifest_link');

// 移除 RDS
remove_action( 'wp_head', 'rsd_link' ) ;

最终结果： 只要是访问链接：https://www.你的域名.com/xmlrpc.php   报 403Forbidden   错误就可以了。