wordpress-security

[워드프레스] xmlrpc.php를 통한 Brute Force 공격 차단하기

워드프레스 보안

XML-RPC란 XML을 사용하여 호출과 HTTP를 전송 메커니즘으로 인코딩하는 원격 프로시저 호출(a remote procedure call which uses XML to encode its calls and HTTP as a transport mechanism)이라고 합니다. 무슨 말인지 어렵네요. 쉽게 말하자면 사용자가 Windows Live Writer와 같은 인기 웹블로그 클라이언트(weblog client)를 사용하여 워드프레스 블로그에 글을 게시하도록 허용하는 시스템이라고 하네요.

이 기능을 사용하지 않는다면 XML-RPC를 비활성화하는 것이 보안상 좋다고 합니다. XML-RPC를 통한 Brute Force 공격과 같은 해킹 공격이 자주 발생하는 것 같습니다.

XML-RPC를 비활성화하려면 다음 코드를 .htaccess 파일에 추가하도록 합니다.

# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
// 출처: blogtips

특정 IP를 허용하려면 deny from all 아래에 다음 라인을 추가하도록 합니다.

allow from 123.123.123.123

다른 방법으로 다음 코드를 함수 파일에 추가해도 된다고 합니다.

add_filter('xmlrpc_enabled', '__return_false');

참고:



기부를 통해 이 블로그를 후원하실 수 있습니다.
워드프레스 설치/제작/문제해결이 필요한 경우 서비스(유료)를 요청해주세요.