前言

某日，一直收到宝塔的邮件提示网站CPU占用达到80%以上，就感觉不对劲了，随即去宝塔日志看了看我的网站日志，发现有人一直在请求这个xmlrpc.php文件

这个xmlrpc.php文件是干嘛的？

1. 远程操作站点：比如通过第三方工具（如 Windows Live Writer）远程发布、编辑文章，管理媒体文件等；
2. 跨站通信：支持与其他系统（如社交媒体平台）同步内容，或接收外部服务的请求（如 PingBack、TrackBack，用于通知其他网站 “被引用”）；
3. 批量操作：提供批量发布、批量修改等接口，简化多任务处理。

为什么有人在这疯狂请求

1. 暴力破解攻击支持wp.getUsersBlogs等方法，攻击者可以通过批量发送 POST 请求，尝试用不同的用户名 / 密码组合猜测登录凭证（相当于 “远程撞库”）。由于它允许一次请求包含多个验证尝试，攻击效率比直接攻击登录页更高。
2. DDoS 攻击或资源消耗攻击者可能通过发送大量复杂的 POST 请求（如批量调用接口），消耗服务器的 CPU、内存或带宽资源，导致站点响应变慢甚至崩溃。
3. 垃圾信息滥用利用xmlrpc.php的pingback.ping等方法，攻击者可以伪造来源，向目标站点发送大量垃圾 PingBack（类似 “引用通知”），或批量发布垃圾评论。
4. 漏洞利用尝试虽然 WordPress 已修复了xmlrpc.php的多数已知漏洞，但仍有攻击者会扫描并尝试利用可能存在的旧版本漏洞（如权限绕过、代码执行等）。

解决办法

1. 直接在根目录删除xmlrpc.php文件或者把文件改一下名,对普通用户是没有任何影响的
2. 先把文件改名，新建一个xmlrpc.php文件，填入以下代码拒绝请求并顺便问候一下爆破者的家人