Desactivar el XMLRPC.PHP en WordPress

Desactivar el XMLRPC.PHP en WordPress

Desactivar el XMLRPC.PHP in WordPress

El archivo XMLRPC.PHP es un archivo que te permite interactuar de forma remota con tu sitio.

La existencia de este archivo permite que colaboradores de tu sitio puedan publicar entradas en tu sitio de forma remota sin embargo muchos de los usuarios de WordPress no usan esta funcionalidad y en ocasiones no están familiarizados con su existencia.

La mayoría de los usuarios que usan el archivo es porque tienen instalado Jetpack, un plugin que requieren esa funcionalidad para poder escribir publicaciones desde wordpress.com ya sea en en la web o desde la aplicación.

¿Donde Esta el Archivo XMLRPC.PHP?

El archivo xmlrpc.php se encuentra en la raíz de la instalación de WordPress. Para poder manipular el archivo debes entrar al gestor de archivos en el panel del proveedor de hosting.

Si no tienes un gestor de archivos en tu panel, debes localizar las credenciales FTP y usar un cliente FTP como Filezilla.

Los credenciales se componen de la dirección IP de tu sitio, de un usuario y una contraseña. El puerto usado para accesar a los archivos de wordpress es: 22

Con esa información podrás ver tu sitio en un folder llamado public_html, en ese archivo encontrarás folders y varios archivos php incluyendo el archivo xmlrpc.php.

Problemas con el Archivo XMLRPC.PHP

Desactivar el XMLRPC.PHP en WordPress es una medida de seguridad contra los hackers que desean encontrar alguna vulnerabilidad en tu sitio.

Los hackers pueden probar miles de credenciales si ese archivo esta activado. El archivo es facil de encontrar, solo debes escribir

ejemplo.com/xmlrpc.php

Si el archivo esta activado en el sitio, vas a ver este mensaje:

El problema es que muchos se preocupan por proteger la página de acceso pero desconocen que este archivo puede recibir ataques de fuerza bruta sin que te des cuenta.

Si tu usuario y contraseña son difíciles de descifrar, no lo van a lograr ni en 20 años de intentos pero no creo que sea prudente permitir que los hackers hagan lo que quieran con tu sitio.

Desactivar el Archivo XMLRPC.PHP

Desactivar el XMLRPC.PHP en WordPress se puede realizar de tres maneras:

  • La primera de ellas es mediante el uso de un plugin que puedes descargar del repositorio de wordpress.
  • La segunda de ellas es por medio de la desactivación del archivo por medio de un código .htaccess.
  • La tercera opción para desactivar el archivo es por medio de una regla de cortafuegos que se puede aplicar usando la version gratuita de CloudFlare

#1 Desactivar el XMLRPC.PHP en WordPress con un Plugin

Puedes desactivar el XMLRPC.PHP, usando los siguientes plugins:

Otros plugins con un set más completo de medidas de seguridad tambien puede bloquear el acceso al archivo.

All in One WP Security and Firewall y Itheme Security tambien bloquean ese archivo.

#2 Desactivar el XMLRPC.PHP en WordPress Manualmente

Si no deseas activar un plugin puede desactivar el XMLRPC.PHP en WordPress manualmente realizando unos cambios usando un cliente de FTP como Filezilla

Una vez que están en el folder de la aplicación de wordpress. Debes localizar el archivo htaccess file e ingresar estas líneas de código:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Esta forma de proteger el archivo XML-RPC es una buena opción para no tener un plugin más y no preocuparnos en su mantenimiento.

#3 Bloquear el Archivo XML-RPC con CloudFlare

La tercera en la que podemos bloquear el archivo XML-RPC es por medio de la implementacioń de reglas de cortafuego (Firewall) con CloudFlare.

CloudFlare es una red de contenido global que mejora la entrega de contenido alredor del mundo.

CloudFlare y su red de contenido global tiene diversos planes entre ellos un plan gratuito para blogs.

Ese plan gratuito permite implementar cerca reglas de cortafuegos.

Desactivar el archivo xmlrpc

Lo primero que debes hacer es ir a Tools y agregar tu direccion IP, escoger whitelist, this website y agregar una nota.

Con eso te puedes asegurar que nadie podrá tener acceso al archivo con la excepción de dispositivos en esa IP

Luego vas a Firewall Rules, le das click al boton que dice ‘Create Firewall’

Tambien puedes bloquear el acceso a todos los archivos de tu sitio con cambiar las palabras xmlrpc por .php.

Esto incrementa la seguridad bloqueando esos archivos que no son de uso de los visitantes de tu sitio.

El bloqueo de los archivos PHP incluyen el formulario de inicio de sesión. Asegurate de agregar las IP que usas con frecuencia.

¿Debería Borrar el Archivo XMLRPC.PHP?

Algunos usuarios de WordPress recomiendan borrar el archivo xmlrpc.php ya que no hacen uso de la funciones que el archivo brinda.

El problema con ese curso de acción es que cada vez que actualizas wordpress, esta archivo se volverá a generar en la raíz de tu sitio exponiendote una vez más a vulnerabilidades.

¿Cómo Validar el Estado del XML-RPC?

Puedes revisar el estado del XMLRPC.PHP en WordPress antes y despues de realizar los cambios en la siguiente dirección:

WordPress XML-RPC Validation Service

¿Interesado en la Seguridad de tu Sitio?

Estos son algunas entradas del blog que te podrian interesar