XML Remote Procedure Call, o abreviando XML – RPC, es un protocolo que usa XML para codificar datos y HTTP como mecanismo de transporte, my usado en sus inicios para comunicar WordPress con sistemas externos, sin embargo actualmente se recomienda deshabilitarlo.
Generalidades
La funcionalidad XML RPC viene activa por defecto en versiones actuales de WordPress, sin embargo con el avance de otras formas de comunicación entre sistemas, como por ejemplo la API Rest de WordPress, es posible que en el futuro sea considerada como obsoleta.
Comprobar si tienes la funcionalidad XML RPC habilitada en tu sitio
Para comprobar si tienes la funcionalidad XML RPC habilitada puedes usar el siguiente enlace de validación online de XML RPC
¿Por qué deberías deshabilitar la funcionalidad XML RPC de WordPress?
- Puedes recibir ataques de fuerza bruta, a través del archivo xmlrpc.php se puede ingresar por programación un sinnúmero de combinaciones de usuario/password.
- También es posible recibir ataques de denegación de servicio, los atacantes pueden enviar pingbacks a través del archivo xmlrpc.php
Deshabilitar XML RPC a través de código PHP
La form más simple es usar un Hook de WordPress que permita deshabilitar esta funcionalidad.
add_filter('xmlrpc_enabled', '__return_false');
Deshabilitar XML RPC usando el archivo .htaccess
Como te había comentado anteriormente el punto de entrada para la funcionalidad XML RPC es el archivo xmlrpc.php, por lo que a través de una configuración adicional en el archivo .htaccess podemos denegar las peticiones a este archivo.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Conclusión
Como has podido comprobar, puedes deshabilitar la funcionalidad XML RPC, que posiblemente no estas usando, y evitar problemas de seguridad en tu sitio web, en este artículo hemos visto como realizarlo directamente a través de código.
¿Aún con dudas?, en el siguiente video se detallan los puntos anteriores.
Artículos Relacionados
(2 votos, promedio: 5,00 de 5)
Cargando...