O que é XML-RPC no WordPress?
XML-RPC é uma API central do WordPress que permite aos usuários se conectarem ao seu site WordPress usando aplicativos, ferramentas e serviços de terceiros. O xmlrpc.php, que é armazenado no diretório raiz do seu site, permite a conexão remota ao WordPress e é habilitado por padrão no WordPress desde a versão 3.5.
Será impossível para várias ferramentas e aplicativos de publicação acessar o site remotamente sem XML-RPC, exceto fazer login diretamente no sistema. No entanto, a API REST substituiu esse recurso, mas o WordPress ainda o possui instalado devido à compatibilidade com versões anteriores.
A maior desvantagem de manter o arquivo XMLRPC habilitado é que ele torna seu site vulnerável a ataques de hack, como DDoS e ataques de força bruta, e torna seu site lento devido ao arquivo PHP consumir muitos recursos do servidor. Não faz sentido excluir o arquivo, pois ele será recriado após uma
atualização do wordpress. Excluir o arquivo xmlrpc.php não ajudará, pois pode interromper a funcionalidade dependente de alguns aplicativos e plug-ins de terceiros para interagir com o wordpress. Desativá-lo é a melhor opção para manter seu site seguro. Você pode desativá-lo usando um plugin ou adicionando algum código ao seu arquivo .htaccess.
Método 1: desabilitando Xmlrpc.php com plug-ins
Instalar um plugin é a maneira mais fácil e rápida de desabilitar XML-RPC no WordPress.
- Faça login no painel de administração do WordPress usando seudomínio/wp-admin
- Vá para plug-ins
- Procure por Disable XML-RPC usando a caixa de pesquisa no canto superior direito e instale-o
- Assim que o plugin estiver instalado, clique em Ativar para ativar o plugin em seu site e o arquivo xml-rpc.php deverá ser desabilitado
- E está tudo pronto. Este plugin irá inserir automaticamente o código necessário para desligar o XML-RPC.
Método 2: desabilitando Xmlrpc.php adicionando um código em seu arquivo .htaccess
O código é simples e pode ser de grande utilidade se você não quiser se preocupar com novos plugins consumindo recursos do seu servidor. Você pode desativar manualmente o XML-RPC usando este método e interromper as solicitações xmlrpc.php antes que cheguem ao WordPress.
- Encontre e edite o arquivo .htaccess no gerenciador de arquivos ou use seu cliente FTP para localizar esse arquivo.
- Pode ser necessário ativar ‘mostrar arquivos ocultos’ para acessar o .htaccess.
- No canto superior direito do Gerenciador de Arquivos, clique em Configurações e marque o botão “mostrar arquivos ocultos”.
- Clique em salvar e agora você verá seu arquivo .htaccess.
- Abra seu arquivo .htaccess.
- Cole o seguinte código dentro do seu arquivo .htaccess:
Bloquear solicitações xmlrpc.php do WordPress
ordenar negar, permitir negar de todos permitir de xxx.xxx.xxx.xxx
Agora “Salve” o arquivo. É simples assim. A conexão remota usando XMLRPC.PHP foi negada.
Você pode remover esta linha ‘allow from xxx.xxx.xxx.xxx’ completamente ou alterar xxx.xxx.xxx.xxx para o endereço IP que pode acessar xmlrpc.php
Quando um novo plug-in é instalado ou um arquivo é modificado, muitas vezes isso pode corromper o seu site, o que pode ser arriscado. Não se preocupe, nós fornecemos backups, o que é uma rede de segurança caso você tenha um site quebrado. Você sempre pode recuperar uma cópia do seu site aqui
Desativar esse recurso elimina o risco de ataques externos obterem acesso ao seu site.
De acordo com os contribuidores, a programação do xmlrpc.php é tão segura quanto o restante dos arquivos principais de um site WordPress hospedado. Se você precisar de algumas das funções necessárias para publicação remota em seu site e do plugin Jetpack. Mostraremos como habilitar o xmlrpc.php.
Portanto, se você usar algum dos recursos a seguir para desativá-lo, basta refazer suas configurações ou apagar o código para reativá-lo.
Desativar XML-RPC no WordPress pode não ser a única solução para evitar que hackers explorem seu site. Você precisa instalar um poderoso
firewall WordPress para bloquear bots e IPs maliciosos.
