WordPress deshabilitar XMLRPC: guía completa (a través de código o complemento)

¿Está buscando un plugin XMLRPC para deshabilitar WordPress? ¿O tal vez desea deshabilitar XMLRPC manualmente a través de un fragmento de código corto? No busque más porque en este artículo le mostraremos cómo deshabilitar XMLRPC usando ambos métodos.

Pero antes de profundizar en los pasos de ambos métodos, intentaremos abordar algunas preguntas básicas en las que probablemente esté pensando, como:

• ¿Qué tan grande es la amenaza de seguridad XMLRPC?
• ¿Por qué existe en primer lugar?
• ¿Es suficiente deshabilitar el XMLRPC?

Tenga la seguridad de que responderemos todas sus preguntas candentes. Ahora, comencemos. Esto es lo que vamos a cubrir:

• Cómo deshabilitar XMLRPC con un complemento
• Cómo deshabilitar XMLRPC manualmente
• ¿Nada funcionó? Lee esto

¿Cuándo no deshabilitar XMLRPC?

El XMLRPC fue desarrollado para permitir que WordPress se comunique con otros sistemas. Por ejemplo, usar la aplicación WordPress en tu móvil requiere XMLRPC.

En estos días, realmente no necesita XMLRPC debido a la API REST que ahora transfiere datos entre WordPress y otros sistemas.

Dicho esto, XMLRPC todavía se incluye en una instalación de WordPress debido a la compatibilidad con versiones anteriores . Todos sabemos que mantener su sitio web actualizado es extremadamente importante, pero hay casos en los que los propietarios de sitios web deciden retrasar las actualizaciones. Y si su sitio se ejecuta en una versión anterior a la API REST, entonces es mejor mantener habilitado el archivo XMLRPC.

Sin embargo, como ya sabrá, la mayor desventaja de mantener habilitado el archivo XMLRPC es que se sabe que introduce vulnerabilidades en un sitio web de WordPress. Por lo tanto, recomendamos encarecidamente instalar un complemento de seguridad de WordPress en su sitio para mantener a raya a los piratas informáticos.

Es posible que desee conservar el archivo PHP (es decir, XMLRPC.php) cuando esté utilizando una aplicación que no puede acceder a la API REST pero puede acceder a XMLRPC. En este caso particular, XMLRPC es solo una solución temporal y le recomendamos que busque una aplicación que sea compatible con la API REST.

Ahora que sabe cuándo no deshabilitar XMLRPC, veamos todas las razones válidas por las que debe deshabilitar el archivo PHP:

La razón común para deshabilitar el archivo XMLRPC es que hace que su sitio web sea vulnerable a ataques de piratería, como DDoS y ataques de fuerza bruta . El archivo PHP también tiende a consumir una gran cantidad de recursos de su servidor, lo que hace que su sitio web sea muy lento.

Se sabe que algunos complementos, como Jetpack, tienen problemas con XMLRPC.

Entonces, si desea deshabilitar el archivo XMLRPC, siga los pasos a continuación.

Ve arriba

Cómo deshabilitar XMLRPC

Hay dos formas de desactivar el archivo XMLRPC. Puedes hacerlo usando un complemento o manualmente. Cubrimos ambos métodos a continuación. Sumerjámonos en…

Importante: antes de continuar, haga una copia de seguridad de todo su sitio web . Para seguir este tutorial, debe instalar un complemento o modificar sus archivos de WordPress. A menudo se sabe que los sitios web se rompen cuando se instala un nuevo complemento y modificar archivos es un negocio arriesgado. Las copias de seguridad son una red de seguridad a la que puede recurrir en circunstancias desafortunadas. Por lo tanto, asegúrese de realizar una copia de seguridad antes de continuar.

WordPress deshabilita XMLRPC con un complemento

Hay muchos complementos que deshabilitarán XMLRPC en su sitio web de WordPress. En este tutorial, vamos a utilizar el más popular: Desactivar XML-RPC . Si no puede usarlo, puede probar una de las siguientes alternativas:

• Deshabilitar XML-RPC-API
• Quitar y deshabilitar XML-RPC Pingback

Consejo profesional: ¿Tiene un complemento de seguridad instalado en su sitio web? Luego pregunte si puede deshabilitar XMLRPC usando ese complemento de seguridad. Por ejemplo, iThemes puede deshabilitar XMLRPC con solo hacer clic en un botón.

Ahora, deshabilitemos XMLRPC usando el complemento Disable XML-RPC.

Descargue e instale el complemento Desactivar XML-RPC en su sitio web de WordPress. Y eso es. El complemento deshabilitará automáticamente el archivo PHP sin que tengas que mover un dedo.

El uso de complementos es una excelente manera de resolver problemas en un sitio web de WordPress, pero la instalación de complementos tiene una desventaja . Consume muchos de los recursos de su servidor. Es por eso que la forma manual puede ser preferible para muchos propietarios de sitios web.

WordPress deshabilita XMLRPC manualmente

Hay tres formas de desactivar manualmente el XMLRPC. Puede hacerlo usando un filtro o modificando los archivos de configuración .htaccess o Ngnix. Probémoslos todos.

Deshabilitar usando el archivo .htaccess

Para editar el archivo .htaccess, deberá abrir su cuenta de hosting, ir a cPanel → Administrador de archivos → public_html → .htaccess . Simplemente haga clic derecho y seleccione Editar en el archivo .htaccess. A continuación, inserte el siguiente código al final del archivo:

# Block WordPress xmlrpc.php requests

order deny,allow
deny from all

No olvide presionar guardar antes de cerrar la ventana o pestaña.

Nota al margen: si nunca se ha ocupado del backend de su sitio web de WordPress, entonces editar el archivo .htacess será una tarea desalentadora. Recomendamos aprender más sobre las funciones y la importancia del archivo y luego probar varios métodos para editar el archivo .htaccess .

Deshabilitar usando el archivo de configuración de Ngnix

Antes de que le mostremos los pasos, aquí hay un descargo de responsabilidad. Este método en particular es efectivo solo si su sitio web está alojado en un servidor Nginx.

¿No está seguro de si su sitio web está alojado en Nginx? Así es como puedes averiguarlo:

1. Haga clic derecho en cualquier parte de su sitio web y luego seleccione Inspeccionar .

2. Vaya a Red y se le pedirá que vuelva a cargar el sitio web. A continuación, seleccione Todo .

3. Aparece una lista de datos en una sección llamada Nombre . Haga clic en cualquiera de los datos y en el panel lateral, vaya al encabezado y desplácese hacia abajo. Debería ver el nombre de su servidor .

Si su sitio está alojado en Ngnix, continúe con el siguiente paso.

Abra el archivo de configuración de Nginx e inserte el siguiente código en el archivo:

location ~* ^/xmlrpc.php$ {
return 403;
}

Después de guardar la configuración, si abre el archivo XMLRPC desde la interfaz de su sitio web, arrojará un error 403 . Ver por ti mismo. Simplemente agregue /xmprpc.php (https://yourwebsite.com/xmlrpc.php) al final de su sitio web y presione enter.

Deshabilitar usando un filtro

Puede deshabilitar el archivo XMLRPC escribiendo un complemento y luego agregando el siguiente filtro al complemento y asegurándose de que el complemento esté instalado y activado en su sitio web.

add_filter( 'xmlrpc_enabled', '__return_false' );

Como puede comprender, esta opción en particular es ideal para los desarrolladores. Para personas con habilidades técnicas ordinarias, sugerimos las opciones de archivo config o .htaccess.

¿Nada funcionó?

Si probó los pasos que hemos mostrado en este artículo pero no pudo lograr los resultados deseados, hable con su proveedor de alojamiento. Deberían poder decirle qué es lo que va mal y cómo deshabilitar XMLRPC en su sitio web de WordPress.

Ve arriba

Conclusión

Deshabilitar XMLRPC garantizará que su sitio web esté protegido contra ciertos tipos de ataques de hackers, como DDoS y ataques de fuerza bruta. Pero hay muchas otras formas de invadir su sitio web, por lo que le recomendamos que siga nuestra guía sobre la seguridad de WordPress para garantizar una protección completa de su sitio de WordPress.

¡Eso es todo por esto, amigos! ¿Pudiste deshabilitar XMLRPC en WordPress? Háganos saber en los comentarios a continuación.