最近网站的访问量统计发现,大量的访问请求来自第三方的国家,远远超过国内的访问量,主要是来自185.130.5.165这个IP的访问量严重的异常,怀疑是遭到了密码尝试攻击,跟踪日志:
tail -f /var/log/apache2/access.log
发现如下记录大量重复出现:
185.130.5.165 - - [06/Apr/2016:10:51:44 +0800] "POST /xmlrpc.php HTTP/1.0" 200 584 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
由于我并不使用XML-RPC服务,因此考虑禁止对于xmlrpc.php的访问。
目前由于网站开启了.htacess的支持,因此,发现在.htacess中禁止文件访问是最高效的办法。
在.htacess的文件尾部增加如下语句即可:
# 禁止 WordPress xmlrpc.php 请求 <Files xmlrpc.php> order deny,allow deny from all </Files>
修改后的文件内容变更为:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# 禁止 WordPress xmlrpc.php 请求
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
# END WordPress
然后重启Apache2即可。
$sudo service apache2 restart
然后就会发现访问http://www.mobibrw.com/xmlrpc.php的时候,直接返回了403禁止访问了。