Desactivar el protocolo XMPL-RPC en WordPress por seguridad.

Hemos notado un gran número de ataques en clientes al protocolo xml-rpc de WordPress. Hoy os enseñamos a desactivarlo para evitar estos ataques.

El protocolo xml-rpc lo activó hace unos años WordPress para comunicar e interactuar con tu WordPress vía http. Lo usan las aplicaciones móviles y ciertos plugins como Jetpack.
Pero pronto se dieron cuenta “los malos” que ellos podían usarlo también. Y lo hacen con frecuencia. Así que parece lógico desactivarlo (salvo casos muy puntuales).

Porque, aunque no te entre alguien por ahí, te pueden “tirar” la web con ataques de Denegación de Servicio DoS (los explicamos otro día). Y, si no se cae la web, al menos tantas peticiones a este protocolo la ralentizan (cosa que puede afectarte al SEO).

Cómo desactivar el protocolo XML-RPC en WordPress.

En Internet hay varios métodos, algunos no funcionan bien, otros no son ´óptimos. Obviamente puedes tener un plugin de seguridad que tenga esta función, y activarla. Pero siempre decimos que no nos gusta sobrecargar las webs con plugins si no son necesarios.

Hay una solución que es añadiendo un código del tipo add_filter de WordPress. Pero a nosotros no nos ha funcionado. Y tampoco sería la mejor opción, porque estamos encargando a la web que realice estas tareas de denegar accesos, y eso es cargarla con más procesos.

Lo ideal es que el servidor web rechace el acceso a ese protocolo antes de llegar a la web. En el vídeo bajo estas líneas os mostramos cómo hacerlo con Apache (la mayoría lo tendréis), pero también os dejamos un código (que no hemos probado) para hacerlo con Nginx.

Apache.

Añade esto en tu htaccess.

# Bloquea xmlrpc.php en WordPress
<Files xmlrpc.php>
order deny,allow
 deny from all
# allow from 111.111.111.111
</Files>

Si tienes Nginx el código (para el fichero de configución) similar debería ser (recuerda hacer un reload)

# Desactivar xml-rpc en WordPress con Nginx:

location = /xmlrpc.php {
    deny all;
    access_log off;
    log_not_found off;
    return 403;
}

Te lo mostramos en el siguiente vídeo:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Resumen de nuestra Política de Privacidad

  • Responsable: SmythSys IT Consulting SLNE.
  • Finalidad: Gestionar y moderar los comentarios.
  • Legitimación: Necesitas dar tu consentimiento para publicar un comentario.
  • Destinatarios: Tus datos se alojan en los servidores de OVH.
  • Derechos: Tienes derecho a acceder, rectificar, limitar y suprimir los datos en la dirección del responsable (en nuestra política de privacidad).

Scroll al inicio