關掉wordpress的xml-rpc API呼叫功能

最近發現我安裝的nextcloud常常優雅的關閉(shutting down gracefully)，當然原因很多很多，終究是我不好(一副政治人物的口吻)；我接著查看log的時候，意外發現有個xmlrpc.php一直被呼叫，於是查了一下，原來是被攻擊了，當然這種無差別攻擊最後也是失敗告終。

像我這種對資安敏感度差的人，又管很多很多開源網站，一般只知道版本更新，不看是否有資安漏洞，除非網站出問題。現在問題來了，我爬了文，一般都建議關閉xml-rpc api，反正99.99%都用不到。wordkpress裡面就能找到停用XML-RPC外掛。

同場加映，我從wordpress 4.9開始使用，裡面有個阻擋廣告留言的Akismet Anti-Spam，很好用，後來升級5.x之後，又出現另一個Akismet Anti-Spam，所以我的網站有兩個Aiti-Spam但版本不同，我也不以為意；但期間我這個網站一直會要求訪問網站的人「同意訂閱」，這問題我找了很久，終於抓到是舊版Akismet Anti-Spam搞的鬼，或許是該外掛有漏洞我不自知，兼沒移除所致。現在刪掉就清爽多，也不再詢問訪問網站者是否訂閱惹。

舊版Akismet Anti-Spam存在的時候，會有一個wp_pushup目錄，裡面時常出現一個js檔案，刪了又會出現，導致來我網站的人們，都會被要求訂閱；在移除舊版Akismet Anti-Spam之後，該wp_pushup目錄也隨之被移除，也不會出現要求訂閱的訊息了。