¿Es recomendable desactivar XML-RPC en WordPress?

,
WordPress_XML-RPC

XML-RPC en WordPress es un API (Application Program Interface) o interfaz de programación de aplicaciones que les permite a los desarrolladores de aplicaciones para móviles, escritorio y otros servicios, comunicarse con tu sitio WordPress. El API XML-RPC que WordPress ofrece les permite a los desarrolladores una forma de escribir aplicaciones (para ti) que pueden hacer muchas de las cosas que haces cuando inicias sesión en un WordPress mediante la interfaz web. Esto incluye:

  • Publicar una entrada.
  • Editar una entrada.
  • Borrar una entrada.
  • Subir un nuevo archivo (una imagen para una entrada).
  • Obtener una lista de los comentarios.
  • Editar comentarios.

Una lista completa de las funciones del API de WordPress mediante XML-RPC, la puedes consultar en WordPresss Codex.

Desactivar o no desactivar XML-RPC

Si desactivas el servicio XML-RPC en WordPress, cualquier aplicación que utiliza esta API para comunicarse con WordPress no podrá hacerlo. Por ejemplo, supongamos que tienes una app en tu teléfono inteligente que te permite moderar comentarios en tu sitio WordPress. Una vez que desactives XML-RPC está aplicación dejará de funcionar, debido a que no puede comunicarse con tu sitio web a través del API que acabas de desactivar.

Por tanto, desactivar XML-RPC viene con un costo. Este costo es relativo, ya que si no la empleas puedes desactivarlo sin riesgo alguno. De hecho, muchos test y plugins de seguridad como iThemes Security recomiendan desactivarlo. En cambio, plugins como Akismet ofrecen un alto grado de protección contra ataques DDoS mediante XML-RPC pingbacks; mientras que Wordfence es capaz de bloquear los ataques de fuerza bruta que se produzcan mediante XML-RPC, ya que bloquean el atacante una vez alcanzado el límite de intentos de inicio de sesión.

Desactivando XML-RPC

Existe una gran cantidad de plugins que permiten desactivar XML-RPC en el repositorio oficial de WordPress. Recomendamos emplear iThemes Security Pro si quieres un sitio WordPress con la mejores configuraciones de seguridad aplicadas en tu sitio.

Si no deseas instalar plugins adicionales en tu sitio, puedes desactivar XML-RPC agregando el siguiente código en tu archivo .htaccess:

Si deseas que solo determinados clientes se conecten a tu WordPress mediante XML-RPC:

Si empleas un servidor NGINX, puedes emplear el siguiente bloqueo:

 

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *