Una guía completa sobre xmlrpc.php en WordPress (qué es, riesgos de seguridad, cómo apagarlo)

La especificación XML-RPC WordPress se ha desarrollado para estandarizar la comunicación entre diferentes sistemas, lo que significa que las aplicaciones externas de WordPress (como otros clientes de blogs y escritorio) podrían interactuar con WordPress.
Esta especificación ha sido parte de WordPress desde el principio y ha hecho un trabajo muy útil. Sin él, WordPress habría estado en su propio silo, separado del resto de Internet. Sin embargo, XMLRPC.PHP tiene sus desventajas. Puede introducir vulnerabilidades en su sitio de WordPress y ahora ha sido reemplazado por la API REST WordPress, que hace un trabajo mucho mejor para abrir WordPress a otras aplicaciones.
En esta publicación, explicaremos qué es xmlrpc.php, por qué debe deshabilitarla y ayudarlo a identificar si se ejecuta en su sitio de WordPress. ¿Listo? ¡Vamos a bucear!
¿Qué es xmlrpc.php? XML-RPC es una especificación que permite la comunicación entre WordPress y otros sistemas. Hizo esto estandarizando esas comunicaciones, utilizando HTTP como mecanismo de transporte y XML como mecanismo de codificación. XML-RPC es anteriormente WordPress: ha estado presente en el software Blogging B2, que se ha bifurado para crear WordPress desde 2003. El código detrás del sistema se almacena en un archivo llamado XMLRPC.PHP, en el director raíz del sitio. Y todavía está allí, a pesar de que el XML-RPC está en gran medida desactualizado.
En las versiones iniciales de WordPress, XML-RPC se ha desactivado de forma predeterminada. Pero desde la versión 3.5, se activó de forma predeterminada. La razón principal de esto fue permitir que la aplicación móvil de WordPress hable con su instalación de WordPress. Si ha usado la aplicación Mobile WordPress antes de la versión 3.5, recuerde que tenía que activar XML-RPC en su sitio para que la aplicación pueda publicar contenido. Esto se debió al hecho de que la aplicación no ejecutó WordPress en sí; En su lugar, fue una aplicación separada que se comunica con su sitio de WordPress utilizando xmlrpc.php. sino que no solo se utilizó para la aplicación móvil XML-RPC: también se usó para permitir la comunicación entre WordPress y otras plataformas de blogs, un trackbacks activados y Pingbacks y alimentado el complemento JetPack que conecta un WordPress autohospedado. Sitio a WordPress.com. Pero debido a que la API REST se ha integrado en el núcleo de WordPress, el archivo xmlrpc.php ya no se usa para esta comunicación. Por el contrario, la API REST se utiliza para comunicarse con la aplicación móvil de WordPress, con clientes de escritorio, con otras plataformas de blogs, con WordPress.com (para el complemento JetPack) y otros sistemas y servicios. El rango de sistemas con los que el resto puede interactuar es mucho más alto que el permitido por xmlrpc.php. También hay mucha más flexibilidad.
Debido a que la API REST ha reemplazado XML-RPC, ahora debe apagar xmlrpc.php en su sitio para ver por qué. ¿Por qué debería desactivar xmlrpc.php? Ahora que XML-RPC ya no es necesario para comunicarse fuera de WordPress, no hay razón para mantenerlo activamente. Por lo tanto, es aconsejable hacer que su sitio sea más seguro desactivando. Si XMLRPC.PHP es una responsabilidad de seguridad y no hace el trabajo, ¿por qué no se ha eliminado por completo de WordPress? La razón de esto es que una de las características clave de WordPress siempre será compatibilidad con la versión anterior. Si administra bien su sitio, sabrá que mantiene es esencial actualizado WordPress, así como cualquier complemento o tema. Pero siempre habrá propietarios de sitios web que no quieran o no pueden actualizar la versión de WordPress. Si ejecutan una versión antes del resto, aún necesitarán acceso a xmlrpc.php. Veamos las vulnerabilidades específicas más detalladas. Info Kinsta bloquea XML-RPC de forma predeterminada. Puede obtener más información en nuestras preguntas frecuentes. Si desea ser activado para una aplicación, comuníquese con la asistencia.
DDOS ataca a través de XML-RPC Pingback Una de las funciones que XMLRPC.PHP activó fue Pingback y Trackbacks. Estas son las notificaciones que aparecen en los comentarios en su sitio cuando otro blog o sitio envía a su contenido. La especificación XML-RPC hizo posible esta comunicación, pero fue reemplazada por la API REST (como ya hemos visto). Si el XML-RPC se activa en su sitio, un hacker podría lanzar un ataque DDoS en su sitio explotando xmlrpc.php para enviar una gran cantidad de pingbacks a su sitio en poco tiempo. Esto podría sobrecargar su servidor y puede sacar su sitio. Esto presenta una responsabilidad de seguridad significativa y es algo que la API REST no lo hace. De hecho, la API REST usa OAuth que envía tokens para la autenticación en lugar de nombre de usuario o contraseñas. Como XMLRPC.PHP envía información de autenticación en cada solicitud, los piratas informáticos podrían usarlos para intentar acceder a su sitio. Un ataque de fuerza bruta, ya que puede permitirles ingresar contenido, eliminar el código o dañar la base de datos.
Si un atacante envía solicitudes suficientes a su sitio, cada una con un par diferente de nombre de usuario y contraseña, existe la posibilidad de finalmente alcanzar la correcta dándoles acceso a su sitio, si ejecuta una versión actualizada de WordPress, que usa el resto Para comunicarse con sistemas externos, debe deshabilitar xmlrpc.php. No es necesario y podría hacer que su sitio sea vulnerable. La información, aunque OAuth no es aceptada nativa de Kinsta, Enterprise y los planes anteriores pueden solicitar su implementación. ¿Ejecuta xmlrpc.php en su sitio web de WordPress? Lo primero que debe hacer es identificar si xmlrpc.php se está ejecutando en su sitio de WordPress. Este no es un caso simple para verificar si el archivo está allí: es parte de cada instalación de WordPress y estará presente incluso si XML-RPC está desactivado. Siempre haga una copia de seguridad de su sitio antes de eliminar algo. En este caso, no elimine solo el archivo xmlrpc.php, ya que destruirá su sitio. Para verificar si XMLRPC.PHP se activa en su sitio, use el servicio de validación XML-RPC WordPress. Esto verificará su sitio y le dirá si se activa xmlrpc.php.
El servicio de validación de WordPress XML-RPC aquí es el resultado que obtuve cuando revisé este sitio en el servicio.
Kinsta XML-RPC Verificación Esto muestra que XMLRPC.PHP ha sido deshabilitado en kinsta.com. Entonces, si realiza la corriente y descubre que xmlrpc.php todavía está activado en su sitio, ¿cómo lo deshabilita? Cómo desactivar xmlrpc.php Hay tres formas de desactivar xmlrpc.php:
Echemos un vistazo a cada uno.
Regístrese para el boletín

¿Quieres saber cómo aumentar nuestro tráfico por más del 1000%? ¡Únase a las más de 20,000 personas que reciben nuestro boletín semanal con los consejos de WordPress! Suscríbase ahora

Cómo xmlrpc.php deshabilita con un complemento que instala un complemento para desactivar xmlrpc.php es la forma más fácil de hacerlo. El complemento XML-RPC Disable lo desactivará por completo. Así es como lo usas. Mi punto de partida es mi propio sitio web, que se activa xmlrpc.php. Puedes ver eso al verificar que lo hice:
La verificación del sitio web de Rachel McCollin-XML-RPC instale el complemento a través de su administrador de WordPress y lo actúe. No debe hacer nada más: la activación del complemento causará la desactivación de XML-RPC. Ahora, si reviso en mi sitio, obtengo un resultado diferente:
El sitio web de Rachel McCollin: ¡el segundo cheque XML-RPC es muy simple! Deshabilite los pingbacks XML-RPC con un complemento, pero si desea apagar algunos XMLRPC.PHP y no otros? El complemento Disable XML-RPC Pingback le permite desactivar solo la funcionalidad de pingback, lo que significa que todavía tiene acceso a otras características XML-RPC si las necesita. El complemento funciona de la misma manera que el complemento Disable XML-RPC: instálelo, active y funcionará. Configure la API de activación y REST XML-RPC con un complemento Si desea un control más preciso sobre cómo se configuran XMLRPC.PHP y REST en su sitio, puede instalar el verificador REST XML-RPC de datos. Después de instalar y activar este complemento, vaya a Configuración> REST XML-RPC Data Checker y haga clic en la pestaña XML-RPC.
REST XML-RPC Data Checker Esto le permite configurar exactamente qué aspectos de xmlrpc.php están activos en su sitio. ¿Necesita un alojamiento extremadamente rápido, seguro y amigable?Kinsta se crea teniendo en cuenta los desarrolladores de WordPress y ofrece muchas herramientas y un tablero fuerte.Revise nuestros planes

Alternativamente, simplemente puede detenerlo. Y si desea control sobre la API REST, el complemento le da otra pestaña. Cómo deshabilitar xmlrpc.php sin un complemento Si prefiere no instalar otro complemento en su sitio, puede deshabilitar xmlrpc.php agregando un código a un filtro o en su archivo .htaccess. Veamos ambos métodos. Desactive xmlrpc.php a través de un filtro Una opción aquí es usar el filtro xmlrp_enabled para apagar xmlrpc.php. Agregue esta función a un complemento y active en su sitio: add_filter (‘xmlrp_enabled’, ‘__return_false’); Puede agregar esto al archivo con las funciones del tema, pero es mejor escribir un complemento. La otra opción es lidiar con la edición de su archivo .htaccess, que está disponible para alojar a los proveedores que usan Apache, conectándose al servidor de su sitio a través de FTP o CPANEL. Info Kinsta usa el servidor web NGINX, lo que significa que no tendrá un archivo funcional .htaccess. En cambio, puede aprovechar los instrumentos en el tablero que pueden replicar gran parte de la importante funcionalidad .htaccess de una manera más intuitiva a través del tablero de Mykinsta. Deshabilite xmlrpc.php a través del archivo .htics a su archivo .htaccess, agregue este código: ordenar, denegar Deny de todos los
Asegúrese de tener una copia del archivo anterior antes de hacerlo, si tiene algún problema. Pídale a su proveedor de alojamiento que deshabilite xmlrpc.php alternativamente, algunos proveedores de alojamiento deshabilitarán xmlrpc.php si se detecta un ataque. En Kinsta, cuando se detecta un ataque a través de XML-RPC, se agrega automáticamente un fragmento de código al archivo nginx.config: ubicación ~* ^/xmlrpc.php $ {return 403; } Esto producirá un error 403 y apagará el ataque sobre la marcha. Si hace esto solo, es mejor usar uno de los métodos anteriores. Pero antes de hacerlo, siempre consulte con su proveedor de alojamiento primero. ¿Cuándo tienes que activar xmlrpc.php? Puede haber ocasiones en las que necesite activar xmlrpc.php en su sitio de WordPress o cuando no debe deshabilitarlo por completo. Estos son: no ejecute la API REST (no recomendada, pero necesaria en algunas situaciones), pero debe comunicarse entre su sitio de WordPress y otros sistemas.

No puede actualizar WordPress a la versión 4.4 o una versión posterior, para que no tenga acceso al resto. Esto podría deberse a restricciones en su configuración de alojamiento (en cuyo caso cambiaría el proveedor de alojamiento) o la incompatibilidad del tema o complementos (en cuyo caso los reemplazaría o actualizaría).

Usted trabaja con una aplicación externa que no puede acceder a la API WP REST, pero puede acceder al XML-RPC (a largo plazo, aconsejaría que actualice la aplicación o se mueva a una aplicación compatible con REST).