最近在网站日志中看到很多有wlwmanifest.xml 的访问记录，感觉不像是正常用户访问，请问什么是wlwmanifest.xml，它对网站安全有什么影响？其实，这是有人在通过这种访问来试探你的网站是否由wordpress程序搭建，以及你网站的后台登录地址，确认之后就可以有针对性的进行攻击了。

比如说对方可以再通过 /wp-json/wp/v2/users/ 的URL进行GET，这样99%会返回一串信息，里面包含了你的管理员账户。

既然知道了这种访问是不怀好意，那么我们怎么防护呢？

1、首先，我们可以先通过宝塔面板后台将对方的ip地址进行屏蔽，但是这个只是治标的方法，接下来我们还要治本。

2、修改wordpress的默认网站登录地址。

3、宝塔面板+Nginx设置访问权限，禁止访问/wp-json/wp/v2/users/和wlwmanifest.xml。

通过宝塔面板——网站——设置——伪静态：

最后这个xmlrpc是否禁用根据自己需要，如果出现升级错误，那么可以删除掉或者禁用掉代码即可。WordPress作为全球最受欢迎的开源建站程序，自然是树大招风，会引来很多不怀好意的觊觎，我们作为建站者其实也不用太多担心，只要平时注意做好防护，网站的安全是没有问题的。