Wordpress我们在生产环境中使用。 Wordpress 几乎没有与xmlrpc.php文件相关的漏洞。看起来它的预防措施之一是锁定访问xmlrpc.php。这可以使用以下方法完成
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>
wget/curl我验证了使用下载该文件时确实会阻止对此文件的访问。
我关心的是 httpd 的读取.htaccess,我需要将以下设置更改AllowOverride为All其中httpd.conf本身就是一个问题。
请建议什么是更好的方法来处理这个问题。
答案1
将<Files ...>...</Files>规则放在 apache 配置中,而不是放在WordPress 安装的或定义中的.htaccess某处。<Directory>...</Directory><Location>...</Location>
这也会更快,因为如果没有Allowoverride all,apache 就不必读取.htaccess它访问的每个目录。