El archivo XMLRPC.PHP es un archivo que te permite interactuar de forma remota con tu sitio.
La existencia de este archivo permite que colaboradores de tu sitio puedan publicar entradas en tu sitio de forma remota sin embargo muchos de los usuarios de WordPress no usan esta funcionalidad y en ocasiones no están familiarizados con su existencia.
La mayoría de los usuarios que usan el archivo es porque tienen instalado Jetpack, un plugin que requieren esa funcionalidad para poder escribir publicaciones desde wordpress.com ya sea en la web o desde la aplicación.
Table of Contents
- ¿Donde Esta el Archivo XMLRPC.PHP?
- Problemas con el Archivo XMLRPC.PHP
- Desactivar el Archivo XMLRPC.PHP
- Desactivar el XMLRPC.PHP en WordPress con un Plugin
- Desactivar el XMLRPC.PHP en WordPress Manualmente
- Bloquear el Archivo XML-RPC con CloudFlare
- ¿Debería Borrar el Archivo XMLRPC.PHP?
- ¿Cómo Validar el Estado del XML-RPC?
- ¿Interesado en la Seguridad de tu Sitio?
¿Donde Esta el Archivo XMLRPC.PHP?
El archivo xmlrpc.php se encuentra en la raíz de la instalación de WordPress.
Para poder manipular el archivo debes entrar al gestor de archivos en el panel del proveedor de hosting.
Si no tienes un gestor de archivos en tu panel de administración de hosting, debes localizar las credenciales FTP y usar un cliente FTP como Filezilla.
Los credenciales se componen de la dirección IP de tu sitio, de un usuario y una contraseña. El puerto usado para accesar a los archivos de wordpress es: 22
Con esa información podrás ver tu sitio en un folder llamado public_html, en ese archivo encontrarás folders y varios archivos php incluyendo el archivo xmlrpc.php.
Problemas con el Archivo XMLRPC.PHP
Desactivar el XMLRPC.PHP en WordPress es una medida de seguridad contra los hackers que desean encontrar alguna vulnerabilidad en tu sitio.
Los hackers pueden probar miles de credenciales si ese archivo esta activado. El archivo es facil de encontrar, solo debes escribir
ejemplo.com/xmlrpc.phpSi el archivo esta activado en el sitio, vas a ver este mensaje:
El problema es que muchos se preocupan por proteger la página de acceso pero desconocen que este archivo puede recibir ataques de fuerza bruta sin que te des cuenta.
Si tu usuario y contraseña son difíciles de descifrar, no lo van a lograr ni en 20 años de intentos pero no creo que sea prudente permitir que los hackers hagan lo que quieran con tu sitio.
Los intensos ataques que se realizan al archivo XMLRPC.PHP pueden agotar los recursos del servidor.
Si no usas ese archivo, lo mejor es ahorrarse problemas y desactivarlo.
Desactivar el Archivo XMLRPC.PHP
Desactivar el XMLRPC.PHP en WordPress se puede realizar de tres maneras:
- La primera de ellas es mediante el uso de un plugin que puedes descargar del repositorio de wordpress.
- La segunda de ellas es por medio de la desactivación del archivo por medio de un código .htaccess.
- La tercera opción para desactivar el archivo es por medio de una regla de cortafuegos que se puede aplicar usando la version gratuita de CloudFlare
Desactivar el XMLRPC.PHP en WordPress con un Plugin
Puedes desactivar el XMLRPC.PHP, usando los siguientes plugins:
Otros plugins con un set más completo de medidas de seguridad tambien puede bloquear el acceso al archivo.
All in One WP Security and Firewall y Itheme Security también bloquea ese archivo.
Desactivar el XMLRPC.PHP en WordPress Manualmente
Si no deseas activar un plugin puede desactivar el XMLRPC.PHP en WordPress manualmente realizando unos cambios usando un cliente de FTP como Filezilla
Una vez que están en el folder de la aplicación de wordpress. Debes localizar el archivo htaccess file e ingresar estas líneas de código:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>Esta forma de proteger el archivo XML-RPC es una buena opción para no tener un plugin más y no preocuparnos en su mantenimiento.
Bloquear el Archivo XML-RPC con CloudFlare
La tercera en la que podemos bloquear el archivo XML-RPC es por medio de la implementacioń de reglas de cortafuego (Firewall) con CloudFlare.
CloudFlare es una red de contenido global que mejora la entrega de contenido alredor del mundo.
CloudFlare y su red de contenido global tiene diversos planes entre ellos un plan gratuito para blogs.
Ese plan gratuito permite implementar cerca reglas de cortafuegos.
Lo primero que debes hacer es ir a Tools y agregar tu direccion IP, escoger whitelist, this website y agregar una nota.
Con eso te puedes asegurar que nadie podrá tener acceso al archivo con la excepción de dispositivos en esa IP
Luego vas a Firewall Rules, le das click al boton que dice ‘Create Firewall’
También puedes bloquear el acceso a todos los archivos PHP de tu sitio con cambiar las palabras xmlrpc por .php.
Esto incrementa la seguridad bloqueando esos archivos que no son de uso de los visitantes de tu sitio.
El bloqueo de los archivos PHP incluyen el formulario de inicio de sesión. Asegurate de agregar las IP que usas con frecuencia.
¿Debería Borrar el Archivo XMLRPC.PHP?
Algunos usuarios de WordPress recomiendan borrar el archivo xmlrpc.php ya que no hacen uso de la funciones que el archivo brinda.
El problema con ese curso de acción es que cada vez que actualizas wordpress, esta archivo se volverá a generar en la raíz de tu sitio exponiendote una vez más a vulnerabilidades.
¿Cómo Validar el Estado del XML-RPC?
Puedes revisar el estado del XMLRPC.PHP en WordPress antes y despues de realizar los cambios en la siguiente dirección:
WordPress XML-RPC Validation Service
¿Interesado en la Seguridad de tu Sitio?
Espero que hayas encontrado todo lo que estabas buscando sobre el archivo XML-RPC.php
Estos son algunas entradas del blog sobre seguridad de WordPress que te podrian interesar
- 4 Plugins de Auditoria para WordPress
- Spam SEO en WordPress: ¿Qué Hacer?
- Ataques de Fuerza Bruta: ¿Qué Hacer?
- Plugins y Temas GPL: ¿Puedo Usarlos?
- Cómo Limpiar un Sitio de WordPress Hackeado
- 7 Plugins para Detectar Malware en WordPress
- Cómo Bloquear Bots de tu Sitio de WordPress
- Respalda tu Sitio con WPVivid
