随着 WordPress 成为全球最流行的建站系统之一，针对其默认功能的攻击也越来越频繁。其中，xmlrpc.php 是黑客最常利用的入口之一。尤其在使用 OpenLiteSpeed 作为 Web 服务器时，合理禁用该文件，不仅能有效防止 DDoS 和暴力破解，还能提升整站安全性和性能。

本文将详细讲解如何在 OpenLiteSpeed 环境中彻底关闭 xmlrpc.php，并结合实际操作步骤给出最佳实践。

什么是 xmlrpc.php？为何需要禁用？

xmlrpc.php 是 WordPress 提供的一种远程调用接口，最早用于移动客户端、第三方平台发表文章等自动化需求。但随着 REST API 的普及，该接口早已不再必须，却常被用来执行以下恶意操作：

• XML-RPC Pingback 放大攻击（DDoS）
• 用户名密码暴力破解
• 枚举用户信息
• 执行恶意脚本指令

如果你的网站并未使用 Jetpack、外部客户端或移动端发文，那么完全可以禁用该功能，毫无副作用。

方法一：修改 .htaccess 文件禁用 xmlrpc.php（推荐）

操作步骤：

1. 通过 FTP 或面板打开 WordPress 根目录
2. 编辑 .htaccess 文件（若无则创建）
3. 添加以下规则：

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

或者使用更现代的规则：

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^xmlrpc\.php$ - [F,L]
</IfModule>

优点：

• 配置简单
• 立即生效
• 不影响其他功能

方法二：在 OpenLiteSpeed 后台设置 Rewrite 规则

如果你使用的是 OpenLiteSpeed 面板管理站点，可以直接在后台配置屏蔽规则。

步骤如下：

1. 登录 OpenLiteSpeed 面板（默认端口 7080）
2. 点击 Virtual Hosts → 你的站点名
3. 打开 Rewrite 标签页
4. 添加如下规则：

RewriteRule ^xmlrpc\.php$ - [F,L]

保存并 Graceful Restart 生效

方法三：服务器级别屏蔽（可选）

对于大规模 DDoS 攻击，还可以通过系统防火墙如 iptables 或 ufw 屏蔽对 xmlrpc.php 的访问。这种方式对资源消耗更低，但配置复杂度更高，不建议新手操作。

如何确认禁用成功？

设置完成后，访问以下地址进行测试：

https://你的域名/xmlrpc.php

若看到「403 Forbidden」或访问被拒绝的提示，即表示规则生效。

总结

禁用 xmlrpc.php 是 WordPress 安全防护中一个容易被忽视但非常重要的环节。尤其是在使用 OpenLiteSpeed 服务器时，通过 .htaccess 或后台 Rewrite 规则，就可以高效、安全地屏蔽这类潜在威胁。

在加强站点防护的同时，也建议定期更新插件、使用强密码、启用 WAF（Web 应用防火墙）等方式，建立多层次的防护体系。

如需更多 OpenLiteSpeed + WordPress 优化技巧，欢迎访问 innnets.com。