Wordpress我們在生產環境中使用。 WordPress 幾乎沒有與xmlrpc.php文件相關的漏洞。看起來它的預防措施之一是鎖定訪問xmlrpc.php。這可以使用以下方法完成
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>
wget/curl我驗證了使用下載該文件時確實會阻止對該文件的存取。
我關心的是 httpd 的讀取.htaccess,我需要將以下設定更改AllowOverride為All其中httpd.conf本身就是一個問題。
請建議什麼是更好的方法來處理這個問題。
答案1
將<Files ...>...</Files>規則放在 apache 配置中,而不是放在WordPress 安裝的或定義中的.htaccess某處。<Directory>...</Directory><Location>...</Location>
這也會更快,因為沒有Allowoverride all,apache 不必讀取.htaccess它存取的每個目錄。