WordPress安全设置

xmlrpc.php 他的主要作用自行百度,不建议直接删除,用nginx做禁止就好:

location = /xmlrpc.php { deny all; }

管理员账户泄露

https://你的域名/wp-json/wp/v2/users/  的URL进行GET,这样99%会返回一串信息,里面包含了你的管理员账户

用nginx做禁止就好:

location ~ ^/wp-json/wp/v2/users { deny all;}

是否使用了wordpress程序

https://你的域名//wp-includes/wlwmanifest.xml  的URL进行GET,来判断你是否使用了Wordpress程序。以及你的后台登录地址!输入后你会得到这样的反馈。所以修改后台登录地址很重要

用nginx做禁止就好:

location ~ ^/wp-includes/wlwmanifest.xml {deny all;}

总结在nginx中增加:

location = /xmlrpc.php { deny all; }
location ~ ^/wp-includes/wlwmanifest.xml {deny all;}
location ~ ^/wp-json/wp/v2/users { deny all;}

就行了