¿Cómo deshabilitar XML-RPC en WordPress?

¿Busca una forma rápida de deshabilitar WordPress XML-RPC? Sin embargo, antes de hacer esto, considere por qué hace esto. Probablemente tengas muchas otras preguntas:
¿Qué es xmlrpc.php?
¿Qué tan grande es el riesgo de seguridad?
¿Deshabilitar xmlrpc.php resuelve automáticamente la amenaza?
En este artículo, responderemos todas estas preguntas y no solo. Tl; DR: Desactivar XML-RPC en WordPress no es una solución real. Tarde o temprano, los piratas informáticos encontrarán otra vulnerabilidad para explotar. Le recomendamos que instale un firewall de WordPress fuerte en lugar de bloquear los robots maliciosos y los IP.
Se esconde el contenido
¿Está pirateado su sitio debido a XML-RPC?
¿Qué es XML-RPC?
Por qué los hackers atacan XML-RPC
¿Deberías apagar XML-RPC?
Cómo deshabilitar XML-RPC en WordPress
Cómo prevenir los ataques XML-RPC
¿Por qué la gente recomienda que apague XML-RPC?
¿Qué no deberías hacer y por qué
¿Que sigue?
Preguntas frecuentes
¿Está pirateado su sitio debido a XML-RPC? Bueno no. Lo que sucede es que los hackers están tratando de obtener acceso a su sitio web, intentando combinaciones de nombre de usuario y contraseñas. Pero no se asuste, su sitio web aún no ha sido pirateado.
Vi casi todos los sitios que experimentaron esto. Si ha utilizado contraseñas seguras, las posibilidades de su sitio serán pirateadas debido a esto es mínima. De los más de 10,000 sitios piratas que hemos visto, menos del 5% fueron pirateados debido a tales ataques. Sin embargo, este tipo de ataques, conocidos como ataques de fuerza bruta, consume recursos del servidor. Incluso si ha protegido sus páginas de autenticación y administración, estos ataques evitan estas páginas en su conjunto, de modo que el servidor esté sobrecargado. Para evitar esto, es importante instalar un buen firewall. ¿Qué es XML-RPC? XML-RPC es una característica de WordPress que permite la transferencia de datos entre WordPress y otros sistemas. Ahora ha sido reemplazado en gran medida por el resto de la API, pero aún se incluye en las instalaciones para la compatibilidad inversa. XML-RPC permite que las aplicaciones de terceros publiquen contenido en su sitio web de WordPress. Por ejemplo, si usa la aplicación Mobile WordPress para publicar una publicación de teléfono inteligente, XML-RPC le permite hacerlo. Pero eso no es todo lo que puede hacer. WordPress también lo usó para comunicarse con otras plataformas de blogs. Ha activado trackbacks y pingbacks.
Crédito de la imagen: WPEXplorer incluso ha alimentado una versión anterior del complemento JetPack. WordPress generalmente lo usa para conectarse a la aplicación móvil de WordPress. Si alguna vez ha usado la aplicación móvil de WordPress, recordará que necesita activar XML-RPC.

Crédito de la imagen: WordPress Lo más extraño de este negocio es que WordPress ya no usa XML-RPC. Desde que lanzó su propia API, WordPress ha dejado de usar la antigua base de código. La única razón por la que su instalación de WordPress todavía tiene el archivo xmlrpc.php es para compatibilidad inversa. En palabras más simples, solo está destinado a sitios web que todavía se ejecutan en una versión muy antigua de WordPress! WordPress Plugins. Permanecer en las versiones anteriores de WordPress puede presentar riesgos de seguridad mucho más altos que los hackers que intentan conectarse a XMLRPC.PHP. La conclusión es que puede deshabilitar XML-RPC en WordPress de manera segura si su versión de WordPress es mayor que 4.7. Ni siquiera afecta a JetPack si usa el complemento. Pero aunque la desactivación de XML-RPC es una acción perfectamente segura, no le ayuda a proteger su sitio contra los piratas informáticos.

Por qué los hackers atacan XML-RPC Si alguna vez ha usado la aplicación Mobile WordPress, recordará que debe iniciar sesión en su sitio web antes de poder realizar cambios. Ahora, esta autenticación está ocurriendo enviando sus credenciales al script xmlrpc.php, que luego valida y autentica las credenciales de acceso. Los piratas informáticos prácticamente están tratando de hacer lo mismo: inicie sesión en su sitio web enviando las credenciales de acceso al script xmlrpc.php. El mayor riesgo es si su contraseña es débil y puede adivinar fácilmente. Entonces XML-RPC se convierte en un problema de seguridad.
De lo contrario, mire la posibilidad de un servidor sobrecargado, que aún no es maravilloso, atención, pero fácil de abordar con un firewall. WordPress 4.7 y las versiones superiores que usan la API REST para conectarse con aplicaciones externas usan un formulario de autenticación llamado OAuth Chips. Oautoth es una forma muy segura de conectarse a una aplicación externa. El método XML-RPC para usar directamente el nombre de usuario y la contraseña no es un método seguro. Con suficiente tiempo, un hacker o un bot puede enviar variantes del nombre de usuario y la contraseña para conectarse a xmlrpc.php hasta que supongo que el correcto. Otro problema de seguridad importante con XML-RPC es que se ha utilizado para pingbacks, que son alertas de WordPress para que alguien haga un enlace a su contenido. La amenaza es que un hacker puede enviar una ola de pingback al sitio: su UL
Crédito de la imagen: Protector47 Este tipo de ataque, conocido como DDoS Attack, puede sobrecargar su servidor, agotar los recursos del servidor y suspender su sitio web por su web. Nuevamente, la API REST también reemplazó esta función. Entonces, si le gusta Pingback, puede deshabilitar de forma segura XML-RPC en WordPress.
Si le preocupa que probablemente forme parte del 5%, y su sitio web puede ser pirateado, use nuestro escáner de malware gratuito ahora mismo para eliminar esta posibilidad.¿Deberías apagar XML-RPC?No recomendamos la desactivación de XML-RPC en absoluto.¿La razón?Simple: la deshabilitación del archivo PHP no lo hace bien.Deshabilitar XML-RPC no se deshace de los piratas informáticos y los robots.Simplemente redirige su atención a WP-login.php para realizar ataques de fuerza bruta.En segundo lugar, el complemento ralentizará su sitio web, ya que tiene que cargarse para bloquear la solicitud. Es más importante proteger su sitio y, si ha leído hasta ahora, probablemente pueda adivinar que le sugerimos que le sugiera que instale un Firewall.Sí, ese viejo castaño.Cómo desactivar XML-RPC en WordPress Como en todas las cosas de WordPress, puede deshabilitar el WordPress XML-RPC de dos maneras:

Usando un complemento

Sin complemento
En la mayoría de los casos, generalmente recomendamos usar un complemento para hacer casi cualquier cosa en WordPress. El cambio manual del código en WordPress Backynd puede conducir a la catástrofe. Este es un caso raro en el que no recomendamos ningún método, pero continuaremos mostrándole cómo hacer ambas cosas en cualquier caso. Recuerde continuar con precaución y hacer que los hijos de su sitio web sean de repuesto antes de hacer algo. Paso 1: Compruebe si XML-RPC se activa en su sitio web a pesar de que su instalación de WordPress vino con xmlrpc.php, eso no significa que todavía esté activado. Antes de continuar e intentar apagar XML-RPC, al menos debe verificar si aún está activo en su sitio web. Use el servicio de validación de WordPress XML-RPC. Esta aplicación verificará su sitio web e informará si se activa xmlrpc.php. Si hace lo mismo para Malcare, verá un mensaje de error 403, porque tenemos un firewall instalado.
Paso 2: Desactivar XML-RPC en su sitio web es finalmente apagar XML-RPC en WordPress de una vez por todas. Le mostraremos cómo hacer esto utilizando dos métodos. Aunque no recomendamos desactivar el archivo en absoluto, continuaremos alentándole a usar el complemento si está decidido a hacerlo. Opción A: Usando un complemento, hay muchos complementos que puede usar para deshabilitar XML-RPC en su sitio web. Le recomendamos que use el verificador de datos XML-RPC REST de complemento. Tenga en cuenta que su sitio web disminuirá porque el complemento tendrá que ser cargado para bloquear la solicitud. Los piratas informáticos también atacarán el archivo wp-login.php. Así que esto no hará absolutamente nada en términos de seguridad. Si desea una protección real, le sugerimos que instale el complemento avanzado de firewall de MalCare. Después de instalar el complemento, vaya a Configuración> REST DATA-CHECKER XML-RPC. Luego haga clic en la pestaña XML-RPC:
Puede deshabilitar la interfaz API, la posibilidad de formatear publicaciones de WordPress, pingbacks y trackbacks. Como ventaja adicional, también puede ingresar a un usuario de confianza que puede continuar usando XML-RPC o una lista de direcciones IP confiable que no se bloqueará. ¡Rápido y efectivo! Sin embargo, no recomendamos jugar con la pestaña REST. Deja todo por defecto allí. Opción B: sin un complemento, esta es la peor opción posible en el libro. Le recomendamos que pase a la siguiente sección, en lugar de enseñarle a defenderse realmente contra los ataques XML-RPC. Pero si está a punto de desactivar XML-RPC manualmente, le sugerimos que haga una copia de seguridad completa de su sitio web. Dependiendo del tipo de servidor que utilice su sitio web, puede seguir uno de estos dos métodos: deshabilitar WordPress XML-RPC usando .htaccess Glind este fragmento de código en su archivo .htaccess: # block WordPress XMLRPC. PHP solicita Order Deny, Permitir DeneN de una IP en particular. De lo contrario, simplemente puede eliminar esta línea. Si su sitio web está alojado con Apache, podrá iniciar sesión en su servidor con CPanel o FTP. En ambos casos, podrá acceder al archivo .htaccess. Desactive WordPress XML-RPC usando .config para sitios web Nginx, puede agregar el siguiente código al archivo nginx.config: ubicación ~* ^/xmlrpc.php $ {return 403;
} O, simplemente puede pedirle a su host web que desactive XML-RPC para usted. Desactive el XML-RPC WordPress usando un filtro alternativo, puede agregar un filtro a cualquier complemento: add_filter (‘xmlrp_enabled’, ‘__return_false’); Puede hacer lo mismo desde el archivo de funciones del archivo, pero es una práctica mucho mejor escribir un complemento. También puede usar este método sin importar qué tipo de servidor tenga. Una vez más, ninguna de ellas son opciones realmente útiles, y hacer cambios manuales nunca es una buena idea. Entonces, si tiene que hacerlo, prepare una copia de seguridad de WordPress solo si las cosas van hacia el sur. Cómo prevenir los ataques XML-RPC Esta es la sección más importante de este artículo y es bastante grande. Entonces, decidimos compartir esto en varios pasos de actuación que puede hacer para evitar ataques XML-RPC en su sitio web. Paso 1: Compruebe si su sitio web ya está pirateado por toda probabilidad, su sitio aún no ha sido pirateado. Pero aún tienes que confirmar esto para cualquier eventualidad. Si su sitio web es realmente pirateado, primero tendrá que eliminar el malware de él, de lo contrario, la desactivación de XML-RPC no tendrá sentido. La forma más sencilla de confirmar si su sitio está pirateado o no para usar el escáner de malware gratuito. El escáner MalCare requiere muy poco tiempo para la configuración e incluso puede detectar malware desconocido en un sitio web en unos segundos. Si ve una advertencia de sitio web en Malcare, todo lo que tiene que hacer es presionar el botón “Autoclean”.
Malcare trata la eliminación de todo el malware en 60 segundos. Paso 2: Instale un firewall WordPress Esta es la forma correcta de administrar las vulnerabilidades XML-RPC. Use un firewall WordPress que esté equipado para bloquear robots que intentan conectarse con xmlrpc.php. Deshabilitar el archivo no funciona. Los piratas informáticos simplemente comienzan a intentar piratear wp-login.php. El único problema es que el firewall generalmente entra en vigencia demasiado tarde. Cada vez que un hacker intenta conectarse a xmlrpc.php o wp-login.php, todo el sitio de WordPress está cargado con él. Es por eso que recomendamos usar el firewall avanzado de Malcare que: descarta a los robots y hackers antes de que se cobre su sitio

No ralentiza la carga de su sitio web como CloudFlare

Actualiza constantemente una base de datos con direcciones IP maliciosas aprendiendo de una red de más de 250,000 sitios web que protege


Si su sitio web está protegido de Malcare, todos los robots y los piratas informáticos recibirán al intentar conectarse a XML-RPC o WP-Login es un error de 403. Tal error puede desanimar rápidamente a un hacker a no irse lejos. ¿Por qué la gente recomienda que apague XML-RPC? Más razones. Analicemos cada uno, para que comprenda por qué alguien (sí, el blog de gestión de WordPress también recomienda este curso de acción. : Al examinar las revistas, es posible que haya encontrado muchos éxitos en el archivo XMLRPC.PHP. Tal vez use JetPack y tenga un error de configuración al instalar JetPack. Luego buscó este archivo con sonidos extraños y leíste muchas cosas sobre cómo es algo de vulnerabilidad. O usó un escáner, que ha lanzado una advertencia como esta:
Crédito de la imagen: Wordfency Esta es una captura de pantalla de un registro de tráfico de Wordfency.Un enchufe de seguridad le muestra que los robots están intentando acceder a su sitio a través de XML-RPC en WordPress.Entonces, su instinto natural es deshabilitar esta opción por completo.Lo que no debe hacer y por qué las direcciones IP en la lista negra pueden pensar que el bloqueo manual de las direcciones IP es una buena manera de bloquear a los piratas informáticos.De hecho, esto es lo que apoyará mucho “Guru” de seguridad.Pero no está funcionando.Si bloquea una dirección IP, un hocico de fuerza bruta simplemente comenzará a usar otra dirección IP para atacar su sitio.Eliminar XML-RPC ni piensas en eliminar el archivo xmlrpc.php de su instalación de WordPress.Destruirá su sitio por completo e incluso si no, el archivo aparecerá inmediatamente a la próxima actualización de WordPress.¿Que sigue?

Mejorar la seguridad de WordPress no es un negocio único y listo. Sí, instalar un firewall es una excelente manera de comenzar, pero le recomendamos que realice una auditoría completa de seguridad de WordPress en su sitio web para averiguar qué más puede mejorar. Si ya ha instalado MalCare, encontrará muchas sugerencias en el tablero intuitivo. Simplemente continúe y haga un escaneo de seguridad y siga con las instrucciones. Como descubrirá rápidamente, fortalecer la seguridad del sitio de WordPress es una buena idea. Nuevamente, simplemente puede seguir las instrucciones para lograr esto en unos pocos clics simples. Otro aspecto importante de la seguridad es estar siempre al día. Si hay una nueva vulnerabilidad de WordPress, debe saberlo y tomar medidas preventivas antes de que también afecte su sitio. Preguntas frecuentes ¿Qué es XML-RPC? XML-RPC significa el procedimiento de llamada remota XML. Es un protocolo utilizado por sistemas de blogs obsoletos para conectarse al blog utilizando una conexión HTTP XML. Es simplemente un protocolo que permite a los usuarios conectarse de forma remota con una plataforma de blog, como WordPress. ¿Para qué sirve el XML-RPC? XML-RPC es un inicio de sesión remoto en WordPress de tercera aplicaciones, como la aplicación Mobile de WordPress. También le envía una notificación cada vez que alguien se conecta a sus publicaciones en Trackback y Pingbacks. ¿Cómo deshabilito XML-RPC?
Puede deshabilitar XML-RPC utilizando un complemento como el verificador de fecha REST XML-RPC. Sin embargo, la desactivación de XML-RPC no impide que los hackers intenten acceder a su sitio de WordPress. Para detener los ataques, debe instalar el complemento avanzado de firewall de Malcare. Tengo captcha o 2fa. ¿Puedo romper la contraseña usando XML-RPC? CaptCha y complementos de autenticación de dos factores (2FA) están destinados a seguridad adicional. No proporciona protección real contra los piratas informáticos XML-RPC. La mayoría de los complementos Captcha y WordPress 2FA solo asegurarán la página de autenticación de WordPress y no el script XML-RPC. Verifique nuevamente con el complemento de seguridad para asegurarse de que evite la conexión a través de XML-RPC. ¿Puedo tener la lista negra de direcciones IP maliciosas? Esto parece una solución obvia: solo bloquea la dirección IP del hacker y estará a salvo. No juegues en esta idea. Es como jugar con un hacker. Continuarán cambiando las direcciones IP y atacan su sitio usando otra dirección IP. No termina esto. Solo algo como Firewall Malcare puede ayudarte. Viene con protección contra el hocico, que bloqueará automáticamente las direcciones IP maliciosas en el país o el dispositivo. El firewall avanzado aprende de más de 250,000 sitios en su red y reconoce los robots maliciosos y los IP antes de que puedan lanzar un ataque. Todo esto sin ralentizar el sitio. Sin embargo, si aún desea continuar bloqueando las IP maliciosas destinadas a la eternidad, este artículo lo ayudará. ¿No se puede eliminar el archivo XML-RPC?