Xmlrpc php

Descarga de Xmlrpc php

La siguiente guía proporcionará un breve resumen del propósito original de xmlrpc.php, por qué se recomienda deshabilitar esta característica por seguridad, y cómo seguir los pasos para deshabilitarla. Afortunadamente, la desactivación de XML-RPC puede hacerse en unos pocos minutos.

DECLARACIÓN DE APOYO: Por favor, tenga en cuenta que la resolución de problemas de configuración/funcionalidad de aplicaciones de terceros no está cubierta por nuestra declaración de apoyo. Estos recursos se proporcionan como cortesía para ayudarle en la medida de nuestras posibilidades. Para obtener más información sobre nuestra declaración de soporte, no dude en hacer clic aquí.

XML-RPC para WordPress fue diseñado para permitir conexiones remotas entre su sitio y aplicaciones externas. Esto significa que los usuarios pueden interactuar con su sitio de WordPress a través de diferentes plataformas de blogs o aplicaciones telefónicas. Esto era útil en los primeros días de Internet, cuando una persona quería editar el contenido fuera de línea, y luego conectarse a su blog de WordPress más tarde para publicarlo.

Hay ciertas situaciones en las que los usuarios querrían utilizar XML-RPC. Sin embargo, con los avances de la tecnología, el uso y la funcionalidad de XML-RPC se ha reducido mucho desde su creación. Por lo tanto, las ventajas originales que ofrecía esta función se han visto superadas por los riesgos potenciales de seguridad que implica dejarla activada.

Hacker xmlrpc php

El xmlrpc.php permite la conexión remota a WordPress. Sin él, varias herramientas y aplicaciones de publicación simplemente no podrán acceder al sitio web. Cualquier actualización o adición al sitio web tendría que hacerse entrando directamente en el sistema.

Desactivando esta función, se elimina el riesgo de que ataques externos obtengan acceso. Aunque los colaboradores de esta plataforma atestiguan que la programación de xmlrpc.php es tan segura como el resto de los archivos del núcleo de WordPress, algunos pueden sentirse más seguros deshabilitando esta capacidad.

La desventaja obvia de eliminar esta característica es que el acceso remoto a WordPress ya no será posible. Esto elimina parte de la funcionalidad y versatilidad del sistema. En lugar de publicar los blogs desde una aplicación diferente de forma automática a través del acceso remoto, cualquier contenido y otros cambios tendrían que hacerse a través de la entrada directamente en WordPress.

Si no utilizas XML-RPC en absoluto, quizás lo mejor que puedes hacer es desactivarlo. Hay un plugin gratuito llamado Disable XML-RPC que hará precisamente eso y que puedes conseguir en este post. El plugin premium Perfmatters (desarrollado por un miembro del equipo de Kinsta) también te permite deshabilitar XML-RPC junto con otras optimizaciones para tu sitio de WordPress.

Explotación de Xmlrpc.php

Lo mejor es desactivar las funciones de xmlrpc.php con un plugin en lugar de eliminar o desactivar el propio archivo. El archivo en sí será reemplazado en las actualizaciones del núcleo de WordPress, mientras que un plugin lo mantendrá desactivado después de las actualizaciones del núcleo y si cambias de tema.

Estos plugins hacen lo mismo que una función añadida al archivo functions.php del tema o añadiendo una regla order,allow deny a .htaccess (como se indica en otras respuestas), con la diferencia de que un plugin o una función desactiva las llamadas a xmlrpc.php a través de PHP, y la regla en .htaccess funciona aprovechando mod_rewrite en el servidor web (es decir, Apache o Nginx). No hay ninguna diferencia de rendimiento apreciable entre usar PHP y mod_rewrite en un servidor moderno.

Para la extrema minoría que aloja WordPress en IIS, puede utilizar el módulo IIS URL Rewrite para hacer restricciones similares a las de htaccess. El ejemplo de abajo asume que la verdadera IP del cliente viene en la cabecera X-Forwarded-For, la IP conocida de la lista blanca es 55.55.555.555, y que usted quiere responder con un HTTP 404 a las IPs que no están en la lista blanca.

Xmlrpc php pentest

TL;DR: Desactivar XML-RPC en WordPress no es una solución real. Tarde o temprano, los hackers encontrarán alguna otra vulnerabilidad que explotar. Le recomendamos que instale un potente cortafuegos de WordPress en su lugar para bloquear los bots y las IPs maliciosas.

Hemos visto a casi todos los sitios experimentar esto. Si has utilizado contraseñas fuertes, las posibilidades de que tu sitio sea hackeado por este motivo son mínimas. De los más de 10.000 sitios pirateados que hemos visto, menos del 5% han sido pirateados debido a este tipo de ataques.

Sin embargo, este tipo de ataques -conocidos como ataques de fuerza bruta- consumen recursos del servidor. Incluso si ha protegido sus páginas de inicio de sesión y de administración, estos ataques evitan esas páginas por completo, por lo que hacen que el servidor se sobrecargue.

XML-RPC es una función de WordPress que permite la transferencia de datos entre WordPress y otros sistemas. Ahora ha sido reemplazado en gran medida por la API REST, pero todavía se incluye en las instalaciones para la compatibilidad hacia atrás.

La única razón por la que su instalación de WordPress todavía tiene el archivo xmlrpc.php es por compatibilidad con versiones anteriores. En palabras más sencillas, está pensado sólo para los sitios web que todavía se ejecutan en una versión MUY antigua de WordPress.