¿Por qué y cómo deshabilitar XML-RPC en WordPress? – Aprendermarketing.es/

WordPress viene con muchas características para personalizar y crear un hermoso sitio web. Sin embargo, no es necesario que el usuario utilice todas las funciones disponibles. Por ejemplo, comentar en un blog es una característica simple que puede desactivar en todo el sitio cuando no desee utilizar comentarios en su sitio. XML-RPC es uno de esos WordPress antiguos que muchos usuarios no usan en su sitio. El problema aquí es que los usuarios no saben que existe tal característica a menos que cree un problema. En este artículo, explicaremos qué es XML-RPC en WordPress y por qué debería deshabilitarlo de inmediato.

¿Qué es XML-RPC?

XML significa Lenguaje de marcado extensible y RPC significa Llamada a procedimiento remoto. Al combinar XML y RPC, es fácil ver que XML-RPC es un protocolo remoto para conectarse a WordPress a través de XML. Inicialmente, la razón de tener XML-RPC en WordPress era permitir o permitir la transferencia de datos con otros sistemas. Estos datos utilizan XML como mecanismo de cifrado y HTTP como medio de transporte entre WordPress y cualquier aplicación compatible.

WordPress tiene su propia API XML-RPC por varias razones, como se explica en esta documentación. Anteriormente, los usuarios debían habilitar XML-RPC para usar aplicaciones móviles de terceros e integraciones de WordPress. Sin embargo, las versiones de WordPress 3.5 y posteriores vienen por defecto con un archivo XML-RPC preinstalado en su sitio.

¿Dónde puede encontrar un archivo XML-RPC en WordPress?

Puede encontrar el archivo xmlrpc.php en la carpeta de instalación principal de su sitio utilizando la aplicación FTP o el Administrador de archivos. Cuando observa el contenido del archivo, tiene una API para conectarse a WordPress.com, Blogger, MetaWeblog y Movable Type.

Archivo XML-RPC PHP en WordPress

Puede encontrar este archivo xmlrpc.php en el código fuente de su sitio como una URL RSD (servicio Really Simple Discovery) de la siguiente manera:

<link rel="EditURI" type="application/rsd+xml" title="RSD" href="https://yoursite.com/xmlrpc.php?rsd" />

Al hacer clic en la URL, se mostrará su contenido como se muestra a continuación.

Enlace XML-RPC RSD en el encabezado de WordPress
Enlace XML-RPC RSD en el encabezado de WordPress

También habrá un enlace adicional en el encabezado de pingback, como se muestra a continuación.

<link rel="pingback" href="https://yoursite.com/xmlrpc.php">

Cuando haga clic en este enlace xmlrpc.php, se mostrará un mensaje que menciona «El servidor XML-RPC solo acepta solicitudes POST».

XML-RPC solo acepta solicitudes POST
XML-RPC solo acepta solicitudes POST

¿Qué se puede hacer con XML-RPC?

Como puede ver, el protocolo es útil cuando desea conectar servicios de terceros a WordPress.

Algunos complementos más antiguos también pueden usar XML-RPC para fines de integración.

Problemas con XML-RPC en WordPress

Aunque XML-RPC ha sido útil para una necesidad específica, puede crear muchos problemas para aquellos que no lo usan en su sitio. En los sitios de WordPress, xmlrpc.php sería la URL más popular cuando observa los archivos de registro del servidor. Esto se debe a que muchos piratas informáticos intentarán publicar contenido en su sitio utilizando este protocolo remoto. Estos son algunos de los problemas que el archivo xmlrpc.php puede causar en su sitio:

  • Hay muchos desafíos de seguridad que enfrentan muchos sitios web, los dos más comunes son los ataques de denegación de servicio (DOS) y de fuerza bruta. Estas invasiones se enredan en XML-RPC, y la necesidad de deshabilitarlo en WordPress sirve como discurso.
  • Hay un enlace innecesario en el encabezado y los bots intentarán acceder constantemente a xmlrpc.php, lo que puede hacer que su sitio web se vuelva muy lento debido a los recursos (muchos) que usa el archivo del servidor.
  • Además, algunos complementos no son compatibles con XML-RPC y enfrentan problemas técnicos al activarlos.

Finalmente, con la llegada de la API REST, no hay necesidad de XML-RPC. Puede usar la API de REST para conectarse a aplicaciones de terceros, como la aplicación móvil de WordPress autohospedada de Jetpack y todas las demás plataformas de blogs que se enumeran en el archivo xmlrpc .php.

¿Cómo deshabilitar XML-RPC en WordPress?

Dado que xmlrpc.php está desactualizado y la API REST puede hacer las cosas mejor, es una buena idea deshabilitar xmlrpc.php en su sitio. Puede deshabilitar XML-RPC en WordPress agregando código a un archivo .htaccess o usando un complemento que eventualmente agregará el código por usted.

Deshabilite XML-RPC en WordPress con un complemento

Muchos complementos para este propósito o incluso complementos de seguridad tienen la función de deshabilitar XML-RPC. Pero recomendamos el complemento «Deshabilitar XML-RPC-API» porque funciona perfectamente. Vaya al panel de WordPress, coloque el cursor sobre «Complementos» y haga clic en el menú «Agregar nuevo». Use la palabra clave en el cuadro de búsqueda para encontrar el complemento. Luego, instálelo y actívelo en su sitio.

Instale el complemento XML-RPC-API
Instale el complemento XML-RPC-API

Busque el nuevo menú lateral «XML-RPC Security» y haga clic en él. Desplácese hacia abajo, desactive los botones «XML-RPC Api Master switch» y «Habilitar xml-rpc para Jetpack». Luego proporcione la lista de direcciones IP en el campo «IP de la lista blanca» si desea acceder a la función desde cada IP específica. De lo contrario, puede dejarlo en blanco para desactivarlo. completamente xmlrpc.php.

Configuración del complemento para XML-RPC-API
Configuración del complemento para XML-RPC-API

Deshabilitar XML-RPC en WordPress a través de htaccess

Si no desea instalar un complemento de desactivación XML-RPC adicional en su sitio, verifique si su complemento de seguridad ofrece esta función. Si no, la alternativa es agregar manualmente varias líneas de código al archivo .htaccess. Este archivo está disponible en la carpeta de instalación raíz de cada instalación de WordPress.

  • Inicie sesión en la cuenta de alojamiento en su sitio web y vaya al panel de control de cPanel o panel personalizado.
  • Busque y abra la aplicación Administrador de archivos y vaya a la carpeta public_html. Este es el directorio raíz de su sitio, que contiene los archivos básicos de WordPress y del servidor para que WordPress funcione correctamente.
  • Seleccione el archivo .htaccess y haga clic en la opción «Editar». Copie el siguiente código y péguelo en la parte inferior del archivo.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
deny from all
</Files>

Debería verse como el archivo a continuación cuando se edita.

Editar archivo htaccess
Editar archivo htaccess

Después de pegar el código, haga clic en el botón «Guardar» para que los cambios sean efectivos.

Solo deshabilite Pingbacks y Trackbacks

Mientras tanto, para deshabilitar solo la función de pingback y dejar otras funciones de XML-RPC disponibles, instale y active el complemento «Eliminar y deshabilitar XML-RPC Pingback», puede ir a la sección «Configuración> Discusión» y deshabilitar Notificaciones de «Permitir conexión» de otros blogs (pingbacks y tracebacks) de nuevas publicaciones «. Esto solo deshabilitará el retorno de enlaces para nuevas publicaciones que publicará en el futuro.

Deshabilitar Pingbacks y Tracebacks
Deshabilitar Pingbacks y Tracebacks

Uso del complemento Premium de Perfmatter

Después de deshabilitar la API XML-RPC en su sitio, verá 403 Deshabilitado cuando intente abrir el archivo xmlrpc.php.

Acceso denegado para XML-RPC
Acceso denegado para XML-RPC

Sin embargo, los enlaces en la sección de encabezados seguirán estando disponibles sin ningún uso. Si esto le preocupa, puede usar los complementos de eliminación de hinchazón para eliminar los enlaces de encabezado innecesarios insertados por WordPress. Recomendamos usar el complemento premium Perfmatters, ya que puede ayudar a optimizar muchos otros parámetros, como la administración de secuencias de comandos y eliminar CSS no utilizado.

  • Compre el complemento con este código de descuento del 10 % y actívelo en su sitio con el código de licencia.
  • Vaya al menú «Configuración > Perfecto» y luego vaya a la sección «Opciones > General».
  • Habilite la opción que dice «Deshabilitar XML-RPC».
  • Desplácese hasta la parte inferior y haga clic en el botón «Guardar cambios».
Deshabilitar XML-RPC con Perfmatters
Deshabilitar XML-RPC con Perfmatters

Ahora abra cualquier página de su sitio y verifique el código fuente. No encontrará enlaces a xmlrpc.php en la sección de encabezados.

Completar la desactivación de XML-RPC en WordPress

Recuerde que siempre puede invertir el paso si aún siente la necesidad de usar XML-RPC nuevamente. Esto puede ser necesario al usar la aplicación móvil Jetpack para publicar contenido. Sin embargo, le recomendamos encarecidamente que utilice aplicaciones REST API y deshabilite XML-RPC RPC. Esto le ayudará a evitar riesgos de seguridad y proteger su sitio de los piratas informáticos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

rtp live