¿Qué es Xmlrpc.php en WordPress y por qué deberías desactivarlo?

Los mayores problemas con XML-RPC están relacionados con la seguridad. Los problemas no tienen que ver directamente con XML-RPC, sino con cómo el archivo se puede usar para permitir un ataque de fuerza bruta a tu sitio.

Claro, puedes protegerte con contraseñas increíblemente fuertes y con plugins de seguridad de WordPress. Pero, la mejor manera de protección es simplemente deshabilitarlo.

Hay dos debilidades principales en XML-RPC que se han explotado en el pasado.

La primera es usar ataques de fuerza bruta para obtener acceso a tu sitio. Un atacante intentará acceder a tu sitio usando xmlrpc.php mediante varias combinaciones de nombre de usuario y contraseña. Pueden incluso usar un solo comando para probar cientos de contraseñas diferentes. Esto les permite eludir las herramientas de seguridad que normalmente detectan y bloquean los ataques de fuerza bruta.

La segunda era desactivar sitios a través de un ataque DDoS. Los hackers utilizaban la función pingback en WordPress para enviar pingbacks a miles de sitios de forma instantánea. Esta característica en xmlrpc.php brinda a los hackers un suministro casi interminable de direcciones IP para distribuir un ataque DDoS.

Para verificar si XML-RPC está activo en tu sitio, puedes ejecutarlo a través de una herramienta llamada XML-RPC Validator. Ejecuta tu sitio a través de la herramienta, y si recibes un mensaje de error, significa que no tienes habilitado XML-RPC.

Con el siguiente método detendrá todas las solicitudes entrantes de xmlrpc.php antes de pasarlas a WordPress.

Abre tu archivo .htaccess. Es posible que debas activar la función “mostrar archivos ocultos” dentro del administrador de archivos o tu cliente FTP para ubicar este archivo.

Dentro de tu archivo .htaccess, pega el siguiente código:

# bloquear xmlrpc.php
<Files xmlrpc.php>
	Order Deny,Allow
	Deny from all
</Files>