Как отключить xmlrpc.php в WordPress и защитить сайт от DDOS

WordPress является одним из наиболее популярных CMS во всем мире. Наряду с легкостью в использовании и разнообразием готовых компонентов для создания собственного сайта,  пользователи Wordpress сталкиваются с одинаковыми трудностями.

Одна из таких трудностей – большое число POST запросов к странице xmlrpc.php. Лавина запросов создает чрезмерную нагрузку на сервер где расположен сайт Wordpress, что может вызвать, в том числе, недоступность сайта.

XML-RPC полезная функция, она позволяет удаленно управлять контентом вашего WordPress-сайта. Но, если вы не используете данную возможность, то лучше XML-RPC отключить.

Мы хотели бы поделиться простыми советами, которые помогут обезопасить ваш сайт от атак подобного рода.

Как понять, что ваш сайт подвергается чрезмерным запросам к xmlrpc.php?

В Access.log можно увидеть подобную картину:

ddos xmlrpc.php

Отключите XML-RPC через тему сайта:

В директории активного шаблона найдите файл functions.php и добавьте строку:

return_false

Запретите доступ к XML-RPC с помощью .htaccess

<Files xmlrpc.php>

Order Deny,Allow

Deny from all
</Files>

либо

Redirect 301 /xmlrpc.php http://127.0.0.1

Надеемся, данные советы были полезны для вашего сайта на WordPress.