2020/wp includes/wlwmanifest.xml

⚠️ 警告：此路径 2020/wp-includes/wlwmanifest.xml 是 WordPress 系统中的一个敏感文件路径，可能涉及安全风险！请勿随意访问或暴露在公网！

🛡️ 一、文件解析：wlwmanifest.xml 是什么？

📌 文件路径：/wp-includes/wlwmanifest.xml
📌 所属系统：WordPress（开源内容管理系统）
📌 文件用途：用于 Windows Live Writer（WLW） —— 微软已停用的博客撰写工具

✅ 正常功能说明：

• wlwmanifest.xml 是 WordPress 为 Windows Live Writer 提供的“博客发布协议”配置文件。
• 当你使用 WLW 写作并发布文章时，它会自动读取这个文件来获取：
• 博客的发布地址（XML-RPC URL）
• 认证方式（用户名/密码）
• 支持的标签、分类、媒体上传接口等
• 作用：让 WLW 能够“连接”到你的 WordPress 站点，实现离线写稿、一键发布。

📌 注意：
- Windows Live Writer 已于 2017 年正式停止支持，微软不再更新； - 大多数现代用户已改用 WordPress 官方编辑器（Gutenberg）、第三方工具（如 Obsidian、Typora、Ulysses） 或 移动端 App； - 因此，此文件在当前环境下基本无实际用途。

🔥 二、安全风险分析（重点！）

📌 真实案例：
多起 WordPress 站点被黑事件中，黑客正是通过 wlwmanifest.xml 获取 xmlrpc.php 地址，进而发动 XML-RPC 暴力破解攻击，最终控制网站。

🛠️ 三、清关建议（安全加固指南）

✅ 适用对象：所有使用 WordPress 的网站管理员、开发者、运维人员
✅ 目标：保护网站安全，防止被黑客利用

✅ 1. 立即行动：禁止公开访问 wlwmanifest.xml

方法一：通过 .htaccess（Apache 服务器）

apache Require all denied

将上述代码添加至网站根目录的 .htaccess 文件中。

方法二：通过 Nginx 配置

nginx location = /wp-includes/wlwmanifest.xml { deny all; }

方法三：直接删除文件（推荐）

✅ 如果你从未使用过 Windows Live Writer，且不打算使用，直接删除该文件： bash rm /path/to/your/wordpress/wp-includes/wlwmanifest.xml

⚠️ 删除前请备份！确认无依赖。

✅ 2. 进一步安全加固建议

🌐 四、常见问题解答（FAQ）

❓ Q1：我用的是 WordPress，但没用过 WLW，为什么还有这个文件？

A：这是 WordPress 安装包自带的文件，即使你从未使用过 WLW，它也会存在。
→ 建议删除或禁止访问，以减少攻击面。

❓ Q2：删除 wlwmanifest.xml 会影响网站功能吗？

A：不会。只要你不使用 Windows Live Writer，删除该文件完全安全，且能提升安全性。

❓ Q3：有没有工具能自动检测这类风险文件？

A：有！推荐使用： - Wordfence Security - Sucuri Security Scanner - WPScan 它们可自动扫描 xmlrpc.php、wlwmanifest.xml、readme.html 等高危文件。

📌 五、总结：安全第一，别让“旧文件”拖垮你的网站！

✅ 一句话总结：

wlwmanifest.xml 是一个已过时、无用、高风险的文件，必须禁止访问或删除！

🎯 行动清单： 1. [ ] 检查是否可公开访问 http://yoursite.com/wp-includes/wlwmanifest.xml 2. [ ] 若可访问 → 立即通过 .htaccess 或 Nginx 阻止 3. [ ] 若无使用需求 → 直接删除该文件 4. [ ] 启用 WAF + 更新系统 + 关闭 XML-RPC 5. [ ] 定期扫描网站安全漏洞

🌟 附加彩蛋：安全口号

🔥 “旧文件不删，黑客进门！”
🔥 “一个文件暴露，全站沦陷！”
🔥 “安全不是选择，是必须！”

📣 立即行动：

🛠️ 打开你的网站后台或 FTP，检查并处理 wlwmanifest.xml 文件！
🚨 别让一个“遗忘的文件”，成为你网站的“致命漏洞”！

✨ 专业安全，从每一个细节开始！
💼 你的网站，值得被认真保护！