伺服器流量異常高,甚至有時候 CPU 使用率會高到整體伺服器當機,但伺服器內放的東西很單純,只有三個 WordPress 網站,流量不高每天也都大約 300 人而已,甚至資料庫都不在這台主機上。
檢視 access_log 後發現有許多人對 WordPress 的 /xmlrpc.php 檔案進行存取,研究後發現有種手法是針對 xmlrpc.php 進行密碼爆破的攻擊,而且 xmlrpc.php 本身其實用處不大(用來讓 WordPress App 發文,但也可以用 WordPress API 做到同樣事情)
解決方法(皆可,任選其一)
- chmod 000 xmlrpc.php
- apache config disable xmlrpc.php access (較佳,可以一次套用伺服器內所有 WordPress 網站)
- disable xmlrpc.php in .htaccess
透過 apache / .htaccess 去控制有個好處,可以很細緻的控制,例如允許某些 IP 存取 xmlrpc.php 而其他則擋掉。