El servicio XML-RPC está deshabilitado de forma predeterminada durante más tiempo, principalmente por motivos de seguridad. En WordPress 3.5, esto está a punto de cambiar. XML-RPC estará habilitado de forma predeterminada y la capacidad de desactivarlo desde el panel de control de WordPress está desapareciendo. En este artículo, le mostraremos cómo deshabilitar XML-RPC en WordPress y analizaremos la decisión de habilitarlo de forma predeterminada.
¿Qué es XML-RPC?
Según Wikipedia, XML-RPC es una llamada de procedimiento remoto que usa XML para codificar sus llamadas y usa HTTP como mecanismo de transporte. En resumen, es un sistema que le permite publicar en su blog de WordPress utilizando clientes de blogs populares como Windows Live Writer. También es necesario si está utilizando la aplicación móvil de WordPress. También es necesario si desea conectarse a servicios como IFTTT.
Si desea acceder de forma remota y publicar en su blog, debe habilitar XML-RPC.
En el pasado, XML-RPC tenía problemas de seguridad, por lo que estaba deshabilitado de forma predeterminada. En su comentario sobre el ticket de trac #21509, @nacin, uno de los principales contribuyentes de WordPress, dijo:
Ha cambiado bastante desde que introdujimos el apagado predeterminado para XML-RPC. Su código ha mejorado y ya no se les considera ciudadanos de segunda clase en lo que respecta al desarrollo de API, gracias al trabajo de un gran grupo de grandes colaboradores. La seguridad no es más preocupante que el resto del núcleo.
Ya no hay una razón de peso para deshabilitar esta función de forma predeterminada. Ahora es el momento en que debemos eliminar esa opción por completo.
Con el creciente uso de dispositivos móviles, este cambio es inminente. Sin embargo, algunas personas preocupadas por la seguridad podrían decir que, si bien la seguridad de XML-RPC no es gran cosa, aún proporciona una superficie adicional para el ataque si se encuentra una vulnerabilidad. Así que tendría más sentido desactivarlo.
Para mantener contentos a todos, aunque se han eliminado la opción de interfaz de usuario y la opción de base de datos para desactivar XML-RPC, puede usar un filtro para desactivarlo si lo desea.
Cómo deshabilitar XML-RPC en WordPress 3.5
Todo lo que tiene que hacer es pegar el siguiente código en el complemento específico del sitio:
add_filter('xmlrpc_enabled', '__return_false');Alternativamente, puede simplemente instalar el complemento llamado Deshabilitar XML-RPC. Todo lo que tienes que hacer es activarlo. Hace exactamente lo mismo que el código anterior.
Cómo deshabilitar WordPress XML-RPC usando .htaccess
Si bien la solución anterior es suficiente para muchos, aún puede requerir muchos recursos para un sitio comprometido.
En estos casos, es posible que desee deshabilitar todas las solicitudes xmlrpc.php del archivo .htaccess antes de pasar la solicitud a WordPress.
Simplemente pegue el siguiente código en su archivo .htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
Dado que no estamos publicando en AprenderWP utilizando ninguna aplicación móvil o conexión remota, deshabilitaremos XML-RPC de forma predeterminada. ¿Cuál es su opinión sobre este tema?
Los datos expuestos en este sitio web son de índole informativo, no necesariamente están actualizados. Esta información es una recopilación de información de internet.
