Cómo habilitar y deshabilitar XMLRPC.PHP en WordPress y por qué










  • El XMLRPC es un sistema que permite actualizaciones remotas de WordPress desde otras aplicaciones. Por ejemplo, el sistema Windows Live Writer es capaz de publicar blogs directamente en WordPress gracias a xmlrpc.php. Sin embargo, en sus primeros días, estaba deshabilitado de forma predeterminada debido a problemas de codificación.

    En esencia, xmlrpc.php podría abrir el sitio a varios ataques y otros problemas. Afortunadamente, los desarrolladores de este código hace tiempo que han reforzado su estructura y todavía es una aplicación muy utilizada.

    En este tutorial, le mostraremos cómo habilitar y deshabilitar xmlrpc.php y por qué es importante conocer la diferencia.

    ¿Qué es XMLRPC.PHP y por qué lo necesita ?

    El xmlrpc.php permite la conexión remota a WordPress. Sin él, varias herramientas y aplicaciones de publicación simplemente no podrán acceder al sitio web. Cualquier actualización o adición al sitio web deberá realizarse al iniciar sesión directamente en el sistema.

    El bueno

    Al deshabilitar esta función, elimina el riesgo de que ataques externos obtengan acceso. Aunque los colaboradores de esta plataforma atestiguan que la programación de xmlrpc.php es tan segura como el resto de los archivos centrales de un sitio web alojado de WordPress , algunos pueden sentirse más seguros al deshabilitar esta capacidad.

    Es como tener una casa con una sola puerta. Agregar una segunda puerta puede ser más conveniente, pero crea otro punto de entrada que debe cerrarse con llave.

    El malo

    La desventaja obvia de eliminar esta función es que ya no será posible el acceso remoto a WordPress. Esto elimina parte de la funcionalidad y versatilidad del sistema. En lugar de publicar blogs desde una aplicación diferente automáticamente a través del acceso remoto, cualquier contenido y otros cambios deberían realizarse iniciando sesión directamente en WordPress.

    Esto puede ser problemático para aquellos a quienes les gusta la idea de publicar contenido directamente desde sus dispositivos móviles.

    ¿Cómo sé cuándo XMLRPC está habilitado?

    Esto es algo que parece causar confusión a veces. Recuerde, por defecto, XMLRPC ya está habilitado. Está activo una vez que terminas de instalar WordPress

    Entonces, si usa alguno de los siguientes recursos para deshabilitarlo, simplemente rehaga su configuración o borre el código para volver a habilitarlo.

    La realidad de XMLRPC

    En su mayor parte, xmlrpc.php solo es realmente útil si planea usar aplicaciones móviles o conexiones remotas para publicar contenido en su sitio web. Como el uso de dispositivos móviles ha sido una forma tan frecuente de acceder a Internet, muchas personas usarán aplicaciones remotas para facilitar el desarrollo de sus sitios de WordPress.

    Esta es también una de las razones por las que los desarrolladores se esforzaron tanto en solucionar los problemas con la codificación de esta característica en el pasado.

    Sin embargo, no todos necesitarán esta habilidad habilitada. Muchos aspectos del sistema funcionan muy bien y son fáciles de usar en teléfonos inteligentes o tabletas. Esto es especialmente cierto ya que el núcleo de WordPress funciona excepcionalmente bien en un entorno móvil.

    Deshabilitar XMLRPC a través de complementos

    Si bien se pueden hacer muchas cosas a nivel de codificación en WordPress, a veces es más fácil usar el complemento correcto. Hoy vamos a utilizar Administrar XML-RPC. Este complemento es simple y hace el trabajo de habilitar y deshabilitar XMLRPC cuando lo desee.

    Administrar complemento XMLRPC.PHP

    Para usar este pequeño complemento, debe instalarlo y activarlo desde la página de complementos en su panel de administración de WordPress.

    Instale y active el complemento administrar xml rpc

    Después de instalar y activar el complemento, aparecerá una nueva función en el lado izquierdo de su panel de administración de WordPress llamada «Configuración de XML-RPC». Haga clic en este enlace para abrir el complemento.

    Haga clic en configuración xml rpc

    Marque la casilla «Deshabilitar XML-RPC» si desea eliminar las capacidades de acceso remoto de WordPress. En cualquier momento, puede desmarcar la casilla para volver a habilitarla.

    Marque esta casilla para eliminar las capacidades de acceso remoto

    Una vez que haya realizado sus selecciones, haga clic en el botón «Guardar cambios» en la parte inferior izquierda de la pantalla.

    NOTA : Administrar XML-RPC también viene con la capacidad de deshabilitar pingbacks. También puede configurar ciertas direcciones IP para habilitar y deshabilitar la función. Esto puede ser conveniente si desea que el servicio funcione para aplicaciones o usuarios específicos en función de su dirección IP.

    Este complemento le brinda la posibilidad de habilitar o deshabilitar xmlrpc.php para todo el sitio o solo para un puñado de direcciones IP. Es una buena característica, especialmente si desea bloquear el acceso de usuarios específicos a XMLRPC a través de WordPress.

    Aquí hay algunos otros complementos que pueden interesarle y que también habilitarán y deshabilitarán xmlrpc.php.

    Deshabilitar XML-RPC

    Deshabilitar XMLRPC.PHP

    El complemento Disable XML-RPC es una forma sencilla de bloquear el acceso a WordPress de forma remota. Es uno de los complementos mejor calificados con más de 60,000 instalaciones. Este complemento ha ayudado a muchas personas a evitar ataques de denegación de servicio a través de XMLRPC.

    Desactivar pingback XML-RPC

    Deshabilitar xmlrpc.php Pingback

    El complemento Deshabilitar XML-RPC Pingback

    Ambas opciones son definitivamente complementos que podría valer la pena agregar a su sitio web .

    Uso del archivo .htaccess para deshabilitar XMLRPC

    Muchas personas han encontrado un amplio grado de éxito al usar el archivo .htaccess para deshabilitar xmlrpc.php. El código en sí es relativamente simple y puede ser de gran utilidad si no quiere preocuparse por los nuevos complementos.

    Para usar .htaccess para deshabilitar la función xmlrpc.php en WordPress, debe ir a la carpeta raíz de su sitio web de WordPress usando FTP o el Administrador de archivos dentro de su cuenta de GreenGeeks también puede ser útil si lo tiene disponible.

    Haga clic en administrador de archivos

    Busque y edite el archivo .htaccess . En algunas versiones de cPanel , este archivo estará oculto. Deberá configurar cPanel para ver archivos ocultos para acceder a .htaccess. Para hacer esto, haga clic en «Configuración» en la parte superior derecha del Administrador de archivos y marque el botón que dice «mostrar archivos ocultos». Haga clic en guardar y ahora verá su archivo .htaccess.

    Mostrar archivos ocultos en el Administrador de archivos

    Abra el archivo .htaccess y agregue el siguiente código:
    [ht_message mstyle=”info” title=”” show_icon=”” id=”” class=”” style=”” ]# Bloquear solicitudes xmlrpc.php de WordPress

    <Archivos xmlrpc. php>


    ordenar denegar, permitir


    denegar de todos


    permitir de 123.123.123.123


    </Files>[/ht_message]

    Agregar código al archivo .htaccess

    Ahora «Guardar» el archivo. Es así de simple. Ahora, cualquier cosa remota que use XMLRPC.PHP será denegada.

    Uso de código en un complemento específico del sitio

    Un complemento específico del sitio puede ser extremadamente útil si desea agregar funcionalidad a su sitio sin incorporar software de terceros. Es una excelente manera de agregar fragmentos que encuentre en Internet para usar en su sitio sin editar una plantilla de tema o el archivo functions.php.

    En el complemento específico de su sitio, simplemente puede agregar el siguiente código para deshabilitar la función de acceso remoto:

    1
    add_filter('xmlrpc_enabled', '__return_false');

    Una vez guardado, el complemento específico del sitio ejecutará el código anterior y deshabilitará XMLRPC. Sin embargo, deberá eliminar el código en caso de que desee volver a activar la función.

    ¿Cuándo tendré que habilitar XMLRPC en mi sitio?

    Si usa, o planea usar, un sistema remoto para publicar contenido en su sitio, necesitará esta función habilitada. De lo contrario, no podrá realizar conexiones remotas a través del sistema. Si deshabilitó la función y descubrió que algunos de sus complementos u otras herramientas ya no funcionan, deberá volver a habilitarla para continuar usando esas adiciones.

    No todo el mundo necesitará que xmlrpc.php esté activado en WordPress para que funcione correctamente. De hecho, es posible que muchos de ustedes nunca usen esta función. Si le preocupan los problemas de seguridad adicionales, le conviene desactivar esta función hasta que la necesite absolutamente.

    ¿Qué tipo de herramientas has desactivado en WordPress? ¿Qué complementos tiene para reemplazar la codificación en su sitio web?