情况描述：2014/03/13，Wooyun 乌云平台就报道《超过16W的WordPress网站被用来做DDoS攻击》 其中罪魁祸首就是 xmlrpc.php 文件中的 pingback 功能；

2014/07/23，Freebuf 又报道《利用xmlrpc.php对WordPress进行暴力破解攻击》，指出虽然 WordPress 的正常登陆端口做了防暴力破解，但是可以通过 xmlrpc.php POST 到以下数据：

<?xml version=”1.0″ encoding=”iso-8859-1″?><methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>username</value></param>
<param><value>password</value></param>
</params></methodCall>

几乎同时，小T站点也监测到针对xmlrpc.php的攻击：

由于可以直接获取管理员账号密码，危险性极高，已经被大规模应用到针对 WordPress 的攻击之中，所以建议各位 WordPress 站长立即采取措施。

解决办法：

方法一：安装 Login Security Solutin 插件，通过此插件设置密码尝试的次数。

P.S.：如果需要长时间在编辑器中写文章的童鞋，建议关闭 Login Security Solutin 中的 Idle Timeout 选项，将它设置为 0，这样就不会在默认的 15 分钟后被踢出后台，要求重新登陆了。

方法二：彻底关闭 XML-RPC 功能。如果没有使用 Word、Windows Live Writer 写博客的习惯，可以彻底关闭 XML-RPC，以绝后患。

在主题 functions.php 添加如下代码：（记得要在 <?php 之后）

add_filter(‘xmlrpc_enabled’, ‘__return_false’);