Qué es XML-RPC y por qué deberías desactivarlo?

XML-RPC es un protocolo de comunicación utilizado para enviar y recibir datos entre diferentes aplicaciones en la web. Originalmente fue diseñado para permitir que los blogs de WordPress se comunicaran con otros servicios web, pero ha sido utilizado en una amplia variedad de aplicaciones.

Aunque XML-RPC puede ser útil en algunos casos, existen algunas razones por las que deberías desactivarlo:

1. Seguridad

XML-RPC ha sido utilizado en ataques de fuerza bruta y para explotar vulnerabilidades en sitios web. Al desactivar XML-RPC, puedes reducir la superficie de ataque de tu sitio web y hacerlo menos vulnerable a ataques maliciosos.

2. Rendimiento

XML-RPC puede tener un impacto negativo en el rendimiento de tu sitio web. Cada vez que se utiliza XML-RPC, se realiza una llamada a un archivo XML, lo que puede ralentizar la carga de la página y aumentar el tiempo de respuesta del servidor.

3. Redundancia

En la mayoría de los casos, XML-RPC no es necesario para el funcionamiento de un sitio web. Los servicios y aplicaciones web pueden comunicarse de otras maneras, lo que hace que XML-RPC sea redundante.

Mejora de la experiencia de usuario

Al desactivar XML-RPC, puedes mejorar la experiencia de usuario en tu sitio web. Los usuarios no tendrán que esperar tanto tiempo para que se cargue el contenido y tendrán una experiencia de navegación más fluida.

¿Cómo desactivar xmlrpc.php con un plugin?

Una de las formas más sencillas de deshabilitar xmlrpc.php en WordPress es mediante el uso de un plugin. Hay varios plugins gratuitos disponibles en el repositorio de WordPress que pueden ayudarte a deshabilitar xmlrpc.php de manera efectiva.

Uno de los plugins más populares para este propósito es Disable XML-RPC. Este plugin deshabilita xmlrpc.php y bloquea todos los intentos de acceso a través de la dirección URL. Además, también proporciona una opción para personalizar el mensaje de error que se muestra a los usuarios que intentan acceder a xmlrpc.php.

Otro plugin popular es Jetpack, que incluye una función para deshabilitar xmlrpc.php. Si ya tienes Jetpack instalado en tu sitio web, puedes ir a la sección de seguridad y habilitar la opción "Proteger mi sitio web contra ataques de fuerza bruta" para deshabilitar xmlrpc.php.

Otro plugin útil es Disable XML-RPC Pingback, que se enfoca específicamente en deshabilitar la función de pingback en xmlrpc.php. La función de pingback puede ser utilizada por los hackers para realizar ataques de denegación de servicio distribuido (DDoS), por lo que deshabilitarla puede mejorar significativamente la seguridad de tu sitio web.

Además de usar un plugin, hay varias formas de desactivar xmlrpc.php en WordPress. Aquí hay algunas opciones adicionales:

A través del archivo .htaccess: Si tienes acceso al archivo .htaccess en el servidor de tu sitio web, puedes deshabilitar xmlrpc.php agregando el siguiente código al final del archivo:

// Deshabilitar xmlrpc.php

add_filter('xmlrpc_enabled', '__return_false');

En caso de ser un servidor de IIS puedes desactivar el xmlrpc por medio del archivo web.config agregando el siguiente código:

<security>

  <requestFiltering>

    <verbs>

      <remove verb="*" />

      <add verb="POST" allowed="false" />

    </verbs>

    <hiddenSegments>

      <remove segment="xmlrpc.php" />

    </hiddenSegments>

  </requestFiltering>

</security>

También puedes desactivarlo a través del archivo functions.php agregando el siguiente código al archivo functions.php en el tema activo de tu sitio web:

// Deshabilitar xmlrpc.php

add_filter('xmlrpc_enabled', '__return_false');

otra forma de desactivarlo es por medio del archivo wp-config.

// Deshabilitar xmlrpc.php

define('XMLRPC_REQUEST', false);