Cómo deshabilitar XML-RPC en WordPress

El servicio XML-RPC estuvo deshabilitado de forma predeterminada durante más tiempo, principalmente por razones de seguridad. En WordPress 3.5, esto está a punto de cambiar. XML-RPC estará habilitado de forma predeterminada y la capacidad de desactivarlo desde su panel de WordPress desaparecerá. En este artículo, le mostraremos cómo deshabilitar XML-RPC en WordPress y hablaremos más sobre la decisión de tenerlo habilitado de forma predeterminada.

¿Qué es XML-RPC?

Según Wikipedia, XML-RPC es una llamada a procedimiento remoto que utiliza XML para codificar sus llamadas y HTTP como mecanismo de transporte. En resumen, es un sistema que le permite publicar en su blog de WordPress utilizando clientes de blogs populares como Windows Live Writer. También es necesario si está utilizando la aplicación móvil de WordPress. También es necesario si desea realizar conexiones a servicios como IFTTT.

Si desea acceder y publicar en su blog de forma remota, entonces necesita XML-RPC habilitado.

En el pasado, existían problemas de seguridad con XML-RPC, por lo que estaba deshabilitado de forma predeterminada. En su comentario sobre trac ticket # 21509, @nacin, uno de los principales contribuyentes de WordPress, dijo:

Ha cambiado bastante desde que introdujimos la opción predeterminada para XML-RPC. Su código ha mejorado y ya no se considera un ciudadano de segunda clase en lo que respecta al desarrollo de API, gracias al trabajo de un gran equipo de colaboradores increíbles. La seguridad no es una preocupación mayor que el resto del núcleo.

Ya no hay una razón de peso para deshabilitar esto de forma predeterminada. Es hora de que eliminemos la opción por completo.

Con el uso cada vez mayor del móvil, este cambio era inminente. Sin embargo, algunas personas cautelosas en materia de seguridad pueden decir que, si bien la seguridad de XML-RPC no es un problema tan grande, aún proporciona una superficie adicional para el ataque si alguna vez se encuentra una vulnerabilidad. Por lo tanto, mantenerlo desactivado tendría más sentido.

Para mantener a todos contentos, aunque se han eliminado la opción de interfaz de usuario y la opción de base de datos para desactivar XML-RPC, hay un filtro que puede utilizar para desactivarlo si es necesario.

Cómo deshabilitar XML-RPC en WordPress 3.5

Todo lo que tiene que hacer es pegar el siguiente código en un complemento específico del sitio:

add_filter('xmlrpc_enabled', '__return_false');

Alternativamente, puede instalar el complemento llamado Disable XML-RPC. Todo lo que tienes que hacer es activarlo. Hace exactamente lo mismo que el código anterior.

Cómo deshabilitar WordPress XML-RPC con .htaccess

Si bien la solución anterior es suficiente para muchos, aún puede requerir muchos recursos para los sitios que están siendo atacados.

En esos casos, es posible que desee deshabilitar todas las solicitudes xmlrpc.php del archivo .htaccess antes de que la solicitud se pase a WordPress.

Simplemente pegue el siguiente código en su archivo .htaccess:

# Block WordPress xmlrpc.php requests

order deny,allow
deny from all
allow from 123.123.123.123

Debido a que no usamos ninguna aplicación móvil o conexiones remotas para publicar en WPBeginner, deshabilitaremos XML-RPC de forma predeterminada. ¿Qué piensas acerca del tema?

Publicaciones relacionadas

Botón volver arriba