最近我的网站后台频繁出现针对 /xmlrpc.php 的恶意请求，看着大量扫描和攻击日志，实在影响服务器稳定。今天就用最直白的话，讲清楚这个文件为什么总被攻击，以及最有效、最彻底的解决办法。 
 [ifUqZgj9x4aoZtwQqQYhHNBrn2qfoRMG] 
xmlrpc.php 被攻击截图 
一、xmlrpc.php 到底是什么？
/xmlrpc.php 是 WordPress 早期自带的一个远程接口文件，主要用于远程发布、文章同步、站内通知等功能。 
但现在 WordPress 已经有了更安全的 REST API，99% 的网站根本用不上 xmlrpc.php，它反而成了黑客最喜欢攻击的目标。 
二、为什么它总被攻击？
1. 暴力破解效率极高
不同于后台登录页一次只能试一个密码，xmlrpc.php 允许一次请求批量尝试几十上百组账号密码，黑客很容易绕过防护，暴力破解成功率极高...