Мы используем Wordpressв производственной среде. Wordpress имеет несколько уязвимостей, связанных с xmlrpc.phpфайлом. Похоже, что одна из превентивных мер — заблокировать доступ к xmlrpc.php. Это можно сделать с помощью следующего
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>
Я проверил, что доступ к этому файлу действительно блокируется при wget/curlзагрузке файла.
Меня беспокоит, что httpd может читать .htaccess, мне нужно изменить следующие настройки AllowOverride, которые сами Allпо httpd.confсебе вызывают беспокойство.
Пожалуйста, посоветуйте, как лучше всего с этим справиться.
решение1
Поместите <Files ...>...</Files>правило в конфигурацию Apache, а не в .htaccess, где-нибудь в определении <Directory>...</Directory>или <Location>...</Location>установке WordPress.
Это также будет быстрее, поскольку без Allowoverride allapache не придется читать .htaccessкаждый каталог, к которому он обращается.