大家好，这里是青鱼导航(www.55771.cn)。精选各类优质网址和实用干货，欢迎大家收藏本站。WordPress作为全球使用率最高的建站程序，开源性强、易用性高，但也因此成为黑客重点攻击对象。多数新手网站被挂黑、被入侵、后台被爆破，核心原因只有两个：XML-RPC接口漏洞滥用、后台无限次登录尝试暴力破解。市面上多数安全插件臃肿卡顿、拖慢网站速度，甚至存在插件后门。今天分享纯代码无插件加固方案，通过禁用XML-RPC、限制登录尝试次数，从根源封堵90%以上的WP基础攻击，轻量化、零负载、永久有效。

一、为什么要禁用 XML-RPC？

XML-RPC是WordPress默认开启的远程接口，原本用于手机端登录、第三方同步文章，但目前99%的站长完全用不到。而黑客会利用该接口：批量暴力破解账号密码、DDOS集群攻击、漏洞扫描、批量刷后台请求，是WP网站最主要的入侵入口，直接禁用即可彻底杜绝此类攻击。

二、禁用 XML-RPC 完整代码（直接生效）

将以下代码复制，粘贴到主题目录 functions.php 文件最底部，保存即可关闭接口、隐藏接口地址、拦截所有恶意请求。

// 禁用 XML-RPC 接口
add_filter('xmlrpc_enabled', '__return_false');
// 隐藏XML-RPC版本信息
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
// 拦截所有XML-RPC请求
function disable_xmlrpc_request() {
   if (defined('XMLRPC_REQUEST') && XMLRPC_REQUEST) {
       wp_die('接口已关闭', '禁止访问', array('response' => 403));
   }
}
add_action('init', 'disable_xmlrpc_request');

三、限制后台登录尝试次数（防暴力破解）

WordPress默认无登录次数限制，黑客可利用工具无限尝试密码，极易破解后台账号。下面代码可限制登录错误次数，锁定IP，杜绝暴力破解。

功能逻辑：连续输入错误密码5次，锁定IP1小时，期间无法登录后台，自动解封，无需人工操作。

// WordPress 限制后台登录尝试次数
function wp_limit_login_attempts() {
   $max_attempts = 5;      // 最大错误次数
   $lockout_time = 3600;    // 锁定时间 3600秒=1小时
   $transient = 'login_err_' . get_user_ip();

   // 初始化错误次数
   if (!get_transient($transient)) {
       set_transient($transient, 0, $lockout_time);
   }

   $errors = get_transient($transient);

   // 超过次数直接拦截
   if ($errors >= $max_attempts) {
       wp_die('登录尝试次数过多，请1小时后再试！');
   }

   // 统计登录错误
   add_filter('wp_authenticate_user', function($user, $password) use ($transient, $errors, $max_attempts) {
       if (is_wp_error($user)) {
           set_transient($transient, $errors + 1, 3600);
       }
       return $user;
   }, 10, 2);
}
add_action('init', 'wp_limit_login_attempts');

// 获取真实访客IP
function get_user_ip() {
   if (!empty($_SERVER['HTTP_CLIENT_IP'])) return $_SERVER['HTTP_CLIENT_IP'];
   if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) return $_SERVER['HTTP_X_FORWARDED_FOR'];
   return $_SERVER['REMOTE_ADDR'];
}

四、代码部署注意事项

1、所有代码均放入 functions.php 底部，无需修改任何配置，粘贴直接生效，兼容所有WP主题；

2、代码无冲突、不影响前台页面展示、不影响文章发布、不影响后台正常使用；

3、若后续需要使用APP对接、第三方同步功能，可删除禁用XML-RPC代码；

4、锁定IP仅针对恶意爆破用户，正常输错密码少量次数不会影响使用。

这两段代码是WordPress最基础、最实用的防黑加固手段，零插件负担、不拖速、稳定可靠。关闭无用的XML-RPC高危接口+限制登录暴力破解，可直接解决WP网站90%的常见入侵、挂马、爆破风险，是所有WP建站必备的安全实操。更多优质好站和实用干货资源，可以收藏本站-青鱼导航（www.55771.cn），持续分享各类好用网站与实用干货。

相关标签： WordPress防黑 WP禁用XML-RPC WordPress限制登录