Como desativar XML-RPC no WordPress

O serviço XML-RPC foi desativado por padrão por mais tempo, principalmente por motivos de segurança. Neste artigo, mostraremos como desabilitar XML-RPC no WordPress e falaremos mais sobre a decisão de habilitá-lo por padrão.

O que é XML-RPC?

De acordo com a Wikipedia, XML-RPC é uma chamada de procedimento remoto que usa XML para codificar suas chamadas e HTTP como mecanismo de transporte. Resumindo, é um sistema que permite que você poste em seu blog WordPress usando clientes de weblog populares como o Windows Live Writer. Também é necessário se você estiver usando o aplicativo móvel WordPress. Também é necessário se você quiser fazer conexões com serviços como o IFTTT.

Se você deseja acessar e publicar em seu blog remotamente, precisa ter o XML-RPC habilitado.

No passado, havia problemas de segurança com XML-RPC, portanto, ele era desabilitado por padrão. Em seu comentário sobre o assunto, @nacin um dos principais contribuidores do WordPress disse:

Muita coisa mudou desde que introduzimos o XML-RPC. Seu código melhorou e ele não é mais considerado um cidadão de segunda classe quando se trata de desenvolvimento de API, graças ao trabalho de uma grande equipe de colaboradores incríveis. A segurança não é uma preocupação maior do que o resto do núcleo. Não há mais um motivo convincente para desativar isso por padrão. É hora de removermos totalmente a opção.

Com o aumento do uso do celular, essa mudança era iminente. No entanto, algumas pessoas cautelosas com a segurança podem dizer que, embora a segurança do XML-RPC não seja um grande problema, ele ainda fornece uma superfície adicional para ataque se uma vulnerabilidade for encontrada. Portanto, mantê-lo desativado faria mais sentido.

Para deixar todos felizes, embora a opção da interface do usuário e a opção do banco de dados para desligar o XML-RPC tenham sido removidas, há um filtro que você pode usar para desligá-lo, se necessário.

Como desativar XML-RPC no WordPress

Tudo que você precisa fazer é colar o seguinte código em um plugin site-específico:

add_filter('xmlrpc_enabled', '__return_false');

Alternativamente, você pode simplesmente instalar o plugin chamado Disable XML-RPC . Tudo que você precisa fazer é ativá-lo. Ele faz exatamente a mesma coisa que o código acima.

Como desativar o WordPress XML-RPC com .htaccess

Embora a solução acima seja suficiente para muitos, ainda pode consumir muitos recursos para sites que estão sendo atacados.

Nesses casos, você pode desabilitar todas as solicitações xmlrpc.php do arquivo .htaccess antes mesmo de a solicitação ser passada para o WordPress.

Basta colar o seguinte código em seu arquivo .htaccess:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Como não usamos nenhum aplicativo móvel ou conexões remotas para publicar no Império WP, estaremos desabilitando o XML-RPC por padrão. Quais são seus pensamentos sobre o assunto?

Receba dicas de WordPress grátis!
Receba dicas semanais sobre como otimizar o SEO, a usabilidade e a conversão do seu site WordPress.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.