¿Cómo deshabilitar el XML-RPC de la línea de comandos de Linux de manera total?

2

Leí cerca del final de esta guía sobre cómo utilizar SSHguard para proteger WordPress de los ataques de fuerza bruta que, después de configurar SSHguard de forma relevante, uno debe:

  

inhabilite XML-RPC bloqueando todos los accesos remotos a /xmlrpc.php en su   configuración del servidor web.

  • No uso XML-RPC en ninguno de mis sitios web.

  • Utilizo Nginx como mi servidor web.

No estoy seguro de cuál es la mejor manera de bloquear totalmente XML-RPC. Nginx conf para cada sitio? ¿Operación WP-CLI por sitio?

¿Cuál es la forma común de hacerlo?

    
pregunta Arcticooling 23.01.2018 - 20:19

2 respuestas

4

En nginx, para bloquear el acceso al archivo xmlrpc.php, agregue este bloque de ubicación al bloque del servidor de su archivo de configuración:

location ~ ^/(xmlrpc\.php) {
  deny all;
}
    
respondido por el Nathan Johnson 23.01.2018 - 21:33
0

Aquí hay una mejor manera de manejarlo en NginX (y cómo lo hace mi empleador). En realidad, esto devuelve un mensaje "Prohibido".

location /xmlrpc.php { return 403; }

Cualquier persona que diga que no es un riesgo de seguridad no está al tanto de los trucos que comenzaron a ocurrir con Wordpress 4.7.2 (podría ser una versión 4.5x), donde existía un riesgo real explotable en Wordpress debido a cómo xmlrpc.php las solicitudes no fueron saneadas adecuadamente.

De manera realista, la única vez que alguien no debe deshabilitar el acceso a xmlrpc.php es si está usando el complemento Jetpack de Wordpress.com.

    
respondido por el BearlyDoug 24.01.2018 - 05:35

Lea otras preguntas en las etiquetas