Seleccionar página
InicioBlogXmlrpc.php en WordPress y por qué desactivarlo
Xmlrpc.php en WordPress y por qué desactivarlo

Xmlrpc.php en WordPress y por qué desactivarlo

No sabía con qué tema empezar este blog, y finalmente el tema vino a mí.
Empezar con un proyecto nuevo, partiendo de unos conocimientos relativamente básicos te lleva a aprender a marchas forzadas con sus alegrías y sus sustos. Mi susto se llama xmlrpc.php.

¿Qué es Xmlrpc.php?

Empecemos por el principio. XML-RPC es una característica de WordPress que permite que los datos se transmitan, con HTTP actuando como el mecanismo de transporte y XML como el mecanismo de codificación. WordPress ocasionalmente necesita comunicarse con otros sistemas, este sistema le permite realizar ese trabajo.
Las funciones principales de xmlrpc.php son: permitir conectarse a tu sitio a través de las aplicaciones para teléfonos móviles, implementar los trackbacks y pingbacks desde otros sitios, y algunas funciones asociadas con plugins.

El futuro de XML-RPC

Anteriormente había una opción para habilitar o deshabilitar XML-RPC. Sin embargo, actualmente la compatibilidad con XML-RPC esta habilitada por defecto, y no había ninguna opción para desactivar esta configuración. Y esto se ha mantenido así hoy en día.
Con la nueva API de WordPress, podemos esperar que XML-RPC se elimine por completo.

Por qué deberías deshabilitar Xmlrpc.php

Este fin de semana eché un vistazo a Loginizer, el plugin que tengo instalado para mitigar los intentos de login por fuerza bruta. Me temblaron las piernas. Casi 280 IPs bloqueadas, sobre el 80% intentando acceder a dicho xmlrpc.php.

blog publicación xmlrpc

Me pongo inmediatamente a buscar información sobre este archivo. Los problemas relacionados con la seguridad no tienen que ver directamente con XML-RPC, sino con cómo el archivo se puede usar para permitir un ataque de fuerza bruta.
El resumen es que puedes protegerte con contraseñas fuertes y con plugins de seguridad. Pero la mejor manera es simplemente deshabilitarlo.

Deshabilitar Xmlrpc.php

Hay 2 métodos para deshabilitarlo:
El primero es simplemente instalando un plugin. Por ejemplo “Disable XML-RPC” de Philip Erb. Su descripción deja muy claro su funcionamiento.

blog publicación xmlrpc

Algunos plugins instalados pueden utilizar XML-RPC, por lo que deshabilitarlo podría causar problemas o que ciertos elementos dejen de funcionar.

El segundo método es editando el archivo .htaccess que encontrarás en la raíz de tu instalación de WordPress en el servidor. Puedes verlo entrando con tu cliente FTP al servidor del hosting. Detendrá todas las solicitudes entrantes de xmlrpc.php antes de pasarlas a WordPress.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>

*Cambia xxx.xxx.xxx.xxx por la dirección IP a la que deseas permitir el acceso a xmlrpc.php o elimina esta línea.

En resumen

Para que tu sitio sea seguro, valora la opción de desactivar xmlrpc.php por completo. A menos que necesites alguna de sus funciones o hagas uso de plugins que lo utilizan.

Únete a mi Newsletter

Recibirás en tu correo para recibir noticias y artículos de interés.

Se aplica la Política de Privacidad del sitio web.