xmlrpc.php是什么?xmlrpc.php是一个允许远程应用程序和服务通过XML-RPC 协议与WordPress网站交互的核心文件,因为该文件的不安全性和REST API广泛的应用性,在外贸建站时,通常会借助插件或者是.htacess文件/Nginx配置文件将xmlrpc.php在WordPress网站中禁用。
一、xmlrpc.php是什么
XML-RPC是支持WordPress与其他系统之间通信的规范。它通过使用HTTP作为传输机制和XML作为编码机制来标准化这些通信来实现此目的。
在WordPress的早期版本中,默认情况下已关闭XML-RPC。但是自v3.5版本开始,默认情况下又启用它。这样做的主要原因是允许WordPress移动应用程序与WordPress安装进行对话通讯。
如果在v3.5版本之前使用WordPress移动应用程序,可能会记得必须在站点上启用XML-RPC才能使用该应用程序发布内容。这是因为该应用程序本身未运行WordPress。相反它是一个单独的应用程序,通过xmlrpc.php与WordPress网站进行通信。
但是XML-RPC不仅用于移动应用程序,它还允许WordPress和其他博客平台之间进行通信,还支持引用pingback,并为Jetpack插件提供支持,该插件可链接自托管的WordPress独立站至著名的WordPress.com平台。
但是由于REST API已集成到WordPress核心中,因此xmlrpc.php文件不再用于此通信。相反REST API用于与WordPress移动应用程序,桌面客户端,其他博客平台,WordPress.com(用于Jetpack插件)以及其他系统和服务进行通信。REST API-可与之交互的系统范围比xmlrpc.php所允许的大得多。此外拥有更强的灵活性。
既然REST API取代了XML-RPC,因此应该在站点上禁用xmlrpc.php。
二、如何检测WordPress中的xmlrpc.php
有几种方法可以验证WordPress网站上的xmlrpc.php是否处于活动状态。
1、可以直接从浏览器检查,访问 https://yourdomain.com/xmlrpc.php 。
- 如果看到 “XML-RPC 服务器只接受 POST 请求”,说明它已启用。
- 如果出现 403 或 404 错误,则表示已禁用或阻止。
2、要检查站点上是否启用了xmlrpc.php,请使用 WordPress XML-RPC 验证服务。这将检查站点并告知用户自己的网站是否启用了xmlrpc.php。
输入一个测试网站,检测网站的结果如下:
这表明xmlrpc.php在该测试网站上已被禁用。
3、命令行(高级),可以执行下图所示的 cURL 命令:
curl -d "<!--?xml version='1.0'?-->system.listMethods" https://yourdomain.com/xmlrpc.php
如果收到如下所示的结构化 XML 响应,则表示已启用。
三、如何在WordPress中禁用xmlrpc.php
1、插件
安装插件以禁用xmlrpc.php是最简单的方法,可以通过安装Disable XML-RPC插件来实现。使用方法如下:
对一个启用了xmlrpc.php的网站进行XML-RPC检测,会看到下面的结果:
通过WordPress仪表盘的“ 插件”界面安装插件,然后将其启用。无需执行其他任何操作,启用插件即可禁用XML-RPC。再次对该测试网站进行检查,则会得到不同的结果:
2、不使用插件
如果不想在站点上安装这类WordPress插件,则可以通过WordPress过滤器,或.htaccess文件、Nginx配置文件添加一些代码来禁用xmlrpc.php 。
(1)过滤器禁用xmlrpc.php
使用xmlrpc_enabled过滤器禁用xmlrpc.php,将此功能添加到其中一个插件并启用即可:
add_filter( 'xmlrpc_enabled', '__return_false' );
当然也可以将其添加到主题functions文件中,但是编写插件是一种更好的做法。
(2)通过.htacess文件或者Nginx配置文件禁用xmlrpc.php
另一种选择与编辑.htaccess文件或者Nginx配置文件来禁用XML-RPC功能。如果服务器使用的是Apache,则网站根目录找到.htaccess文件中,添加以下代码:
<Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
如果服务器使用的是Nginx,将以下代码添加到Nginx.config文件中:
location ~* ^/xmlrpc.php$ {
return 403;
}
推荐阅读:
《将Google Analytics添加到WooCommerce简单操作指南》
相关文章
-
谷歌高级搜索指令有哪些?
谷歌高级搜索指令有哪些?谷歌高级搜索指令有双引号、OR、-、allintext等,对于熟悉谷歌高级指令的用户来说,通过高级搜索指令的使用,可以进行更加精准的信息搜索,进而提高外贸建站的效率,所以下文将为大家具体展示常见的谷歌高级搜索指令,为大家提供一个操作参考。 一、谷歌高级搜索指令是什么 谷歌高级搜索指令是可以过滤搜索结果的特殊命令和字符,以达到搜索更加精确和集中的目的。谷歌高级搜索允许用户在各种数据点上创建和运行详细和特定的搜索,通常用于缩小搜索范围并深入挖掘结果。 二、谷歌高级搜索指令有哪…
-
为什么要建设外贸独立站?
随着国际贸易的发展,外贸独立站逐渐成为外贸企业提高国际竞争力,提升品牌影响力的主要途径。那么,为什么越来越多的人选择建设外贸独立站,外贸独立站有什么优点,将是本文接下来要分享的内容。 根据谷歌的数据,23%的消费者仅使用谷歌,9%的消费者仅使用亚马逊,同时使用亚马逊和谷歌的消费者占比44%。49%的亚马逊消费者受到谷歌的影响,86%的消费者在品牌商店或DTC网站上的支出比其他购物渠道高出86%。因此独立站仍然有非常大的受众群体,平台卖家想要拓展新的业务增长,独立站是一个比较合适的选择。 1.什么…
-
海外独立站要怎么运营
海外独立站要怎么运营?运营海外独立站首先要研究目标客户并接触他们,并翻译海外独立站,向他们展示本地化的内容,最后要遵守相关地区的法律法规,为跨境电商独立站的运营提供安全合规的政策保障。 随着独立站在海外的火爆,越来越多的商家通过大家独立站来销售产品,但是此时他们也面临不知道怎么运营独立站,如何在海外营销产品的难题,所以下文将基于此向大家介绍为什么要运营海外独立站及怎么运营的有关内容。 一、为什么要运营海外独立站 在美国等海外市场,以亚马逊为主的跨境电商平台占在线零售总额的 40% 以上,但超过 …
-
SaaS建站平台有哪些
SaaS建站平台有哪些?Shopify、Wix、Squarespace和Weebly都是属于SaaS建站平台,这些SaaS建站平台可以让商家在搭建跨境电商独立站时节省网站搭建的时间和精力,即使是无代码技术背景的商家,也可在短时间内实现网站的搭建。为了帮助大家更好的了解SaaS建站平台的优势及有哪些的内容,下文将基于此为大家展开相关叙述。 一、SaaS建站平台优势 1、降低前期成本 在传统的电子商务中,用户必须为软件、托管和硬件预先支付大量费用。SaaS 解决方案如 Shopify,收取月费或年费…
-
外贸网站安全防护措施有哪些
外贸网站安全防护措施有通过安全审计识别风险,并采取HTTPS加密、定期更新系统、强化密码策略等,此外部署防火墙、制定应急响应计划及携手专业团队,能进一步筑牢外贸网站安全防线。外贸网站安全防护是每个从事外贸网站建设的企业必须直面的核心问题。一旦遭受攻击,不仅会导致敏感数据泄露,更会严重损害品牌声誉。那么具体该如何落地执行这些策略以构建坚不可摧的网站呢? 一、外贸网站安全防护的重要性 外贸网站一旦遭受攻击,不仅会导致敏感数据泄露,还可能严重损害企业的品牌声誉。因此,加强外贸网站的安全防护,保障数据安…
-
WordPress建站公司靠谱吗
WordPress建站公司靠谱吗?WordPress建站公司可以实现可扩展、安全和高性能的网站。在数字化世界中,拥有一个强大而灵活的网站是必不可少的,WordPress为全球超过 40% 的网站提供支持,使其成为各种规模企业的首选CMS。然而构建一个可扩展、安全且高性能的WordPress独立站不仅仅是安装插件和选择主题,还需要深厚的技术专业知识和战略思维。 这就是WordPress建站公司的用武之地。通过与经验丰富的开发人员合作,企业可以加速数字形象的塑造过程、减少开销并确保网站取得长期成功。…
