xmlrpc.php通常,当我发现与在 WordPress 网站上常见的文件相关的 XML-RPC 漏洞的资源时,我会发现删除或阻止xmlrpc.php文件的建议,同时也建议删除wlwmanifest.xml(Windows Live Writer Manifest 链接)。
据我所知wlwmanifest.xml,它没有提供任何 WordPress 版本信息,似乎也无法像现在这样用于测试用户名/密码凭据xmlrpc.php。
以下来源中的大部分内容总而言之,“如果没有使用,请删除代码,因为它是不必要的”。
谁能解释为什么这个文件也应该被删除/阻止?如果这不是安全问题,这仅仅是一种优化吗?
谢谢!
来源(建议删除/阻止wlwmanifest.xml):
删除它没有任何意义。它是一个静态文件,包含有关 Windows Live Writer 如何与 wordpress 对话的信息。
发现您正在运行 wordpress 通常很简单,因此该文件也没有透露太多内容。
在保护 WP 时,请专注于通过自动修补保持最新状态。
一些漏洞扫描脚本会检查此文件是否存在,以检测是否安装了 Wordpress。因此,拥有该文件将引起您对 Wordpress 安装的更多关注。
假设您的 Wordpress 或相关插件中存在未知漏洞,那么安装此文件将引起您对 wordpress 安装的注意。
删除它使一个小小的有点不太可能,你的WordPress的安装将被利用。
我最好的猜测是它包含您的管理员 URL。
<adminUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/ ]]>
</adminUrl>
对于 99% 的 Wordpress 站点,您的管理 URL 是“<your-domain>/wp-admin”,但有些人更喜欢更改默认管理 URL 以隐藏他们的登录页面。这是几年前更常见的做法,当时从登录页面入侵 WordPress 网站是一件小事。如果您要更改您的管理 URL 以使该文件继续跟踪其位置,那么您隐藏它的尝试很容易被挫败。
就个人而言,我不会担心一开始就隐藏您的登录页面。只要您有适当的蛮力保护,保持适当的更新,并使用体面的密码(或者更好的是:2 因素身份验证)隐藏您的管理员 URL 既是不必要的,而且会暴露很多潜在的不良副作用。