前几天wordpress网站被攻击了，看了日志发现是利用xmlrpc.php进行暴力破解的攻击。利用xmlrpc.php提供的接口尝试猜解用户的密码，可以绕过wordpress对暴力破解的限制。

Nginx服务器使用以下代码加入你服务器的伪静态设置里

location =/xmlrpc.php{
deny all;
}

Apache服务器修改.htaccess文件加入以下代码

# protect xmlrpc
Order Allow,Deny
Deny from all

在functions.php的文件头部加入如下代码：（有些主题不管用）

add_filter('xmlrpc_enabled','__return_false');

如何知道自己是否禁止成功，在wordpress的安卓客户端的程序日志可以看到“本站点禁用XML-RPC服务”的红色字样，记得删除服务器里的xmlrpc.php。

当然还有插件禁用xml-rpc的方法，但是禁用xml-rpc的目的本身就是为了防止参与ddos攻击，加快网站访问速度，以提高用户体验，把代码加在模板函数里更能加快网站访问速度，大量插件的使用也是拖慢网站访问速度的原因之一，所以一些小功能能避免用插件就尽量不用，把代码写在模板函数更快更高效。