Cómo deshabilitar XML-RPC en WordPress

El servicio XML-RPC se deshabilitó por defecto durante más tiempo, principalmente por razones de seguridad. En WordPress 3.5, esto está a punto de cambiar. XML-RPC estará habilitado de forma predeterminada, y la capacidad de desactivarlo desde el panel de control de WordPress desaparecerá. En este artículo, le mostraremos cómo deshabilitar XML-RPC en WordPress y hablaremos más sobre la decisión de tenerlo habilitado por defecto.

¿Qué es XML-RPC?

Según Wikipedia, XML-RPC es una llamada de procedimiento remoto que utiliza XML para codificar sus llamadas y HTTP como mecanismo de transporte. En resumen, es un sistema que te permite publicar en tu blog de WordPress usando clientes de weblog populares como Windows Live Writer. También es necesario si está utilizando la aplicación WordPress para móviles. También es necesario si desea hacer conexiones con servicios como IFTTT.

Si desea acceder y publicar en su blog de forma remota, entonces necesita habilitar XML-RPC.

En el pasado, había problemas de seguridad con XML-RPC, por lo que se desactivaba de forma predeterminada. En su comentario sobre el trac ticket #21509, @nacin uno de los principales colaboradores de WordPress dijo:

Bastante ha cambiado desde que introdujimos off-by-default para XML-RPC. Su código ha mejorado, y ya no es considerado un ciudadano de segunda clase cuando se trata del desarrollo de API, gracias al trabajo de un gran equipo de colaboradores impresionantes. La seguridad no es una preocupación mayor que el resto del núcleo.

Ya no hay una razón de peso para desactivar esta opción por defecto. Es hora de que eliminemos la opción por completo.

Con el creciente uso de la telefonía móvil, este cambio era inminente. Sin embargo, algunas personas precavidas en materia de seguridad pueden decir que, aunque la seguridad del XML-RPC no es un problema tan grande, proporciona una superficie adicional para el ataque si alguna vez se ha encontrado una vulnerabilidad. Por lo tanto, mantenerlo desactivado tendría más sentido.

Para mantener a todos contentos, mientras que la opción de interfaz de usuario y la opción de base de datos para desactivar XML-RPC se ha eliminado, hay un filtro que puede utilizar para desactivarla si es necesario.

Cómo deshabilitar XML-RPC en WordPress 3.5

Todo lo que tienes que hacer es pegar el siguiente código en un plugin específico del sitio:

1add_filter(‘xmlrpc_enabled’, ‘__return_false’);

Alternativamente, puede instalar el plugin Disable XML-RPC. Todo lo que tienes que hacer es activarlo. Hace exactamente lo mismo que el código anterior.

Cómo deshabilitar WordPress XML-RPC con .htaccess

Si bien la solución anterior es suficiente para muchos, puede seguir siendo intensiva en recursos para los sitios que están siendo atacados.

En esos casos, es posible que desee deshabilitar todas las solicitudes xmlrpc.php del archivo.htaccess antes de que la solicitud se pase a WordPress.

Simplemente pegue el siguiente código en su archivo.htaccess:

123456# Bloquear WordPress xmlrpc.php requestsorder deny,allowdeny from allallow from 123.123.123.123.123Files>

Como no usamos ninguna aplicación móvil ni conexiones remotas para publicar en AprenderWP, desactivaremos XML-RPC por defecto. ¿Qué opina al respecto?

Deja un comentario