Validador Xml-rpc
Si el plugin está activado, pero XML-RPC parece seguir funcionando … O … el plugin está desactivado, pero XML-RPC no funciona, entonces es posible que otro plugin o función del tema esté afectando las funciones del plugin.
Instalamos este plugin pensando que era bueno, ralentizó el sitio web y el tablero de instrumentos por más de 5 segundos. Cuando lo quitamos/eliminamos, el código basura seguía en el .htaccess y tuvimos que quitarlo manualmente y de otros lugares también. ¡Nuestro desarrollador lo pasó muy mal con la cantidad de código basura que dejó, que ralentizó el panel de control y el sitio web también, incluso después de la eliminación del sitio web se mantuvo lento debido a este código basura plugins! No lo instale, por favor.
Rpc php ejemplo
La siguiente guía proporcionará un breve resumen del propósito original de xmlrpc.php, por qué se recomienda deshabilitar esta característica por seguridad, y cómo seguir los pasos para deshabilitarla. Afortunadamente, la desactivación de XML-RPC puede hacerse en unos pocos minutos.
DECLARACIÓN DE APOYO: Por favor, tenga en cuenta que la resolución de problemas de configuración/funcionalidad de aplicaciones de terceros no está cubierta por nuestra declaración de apoyo. Estos recursos se proporcionan como una cortesía para ayudarle en la medida de nuestras posibilidades. Para obtener más información sobre nuestra declaración de soporte, no dude en hacer clic aquí.
XML-RPC para WordPress fue diseñado para permitir conexiones remotas entre su sitio y aplicaciones externas. Esto significa que los usuarios pueden interactuar con su sitio de WordPress a través de diferentes plataformas de blogs o aplicaciones telefónicas. Esto era útil en los primeros días de Internet, cuando una persona quería editar el contenido fuera de línea, y luego conectarse a su blog de WordPress más tarde para publicarlo.
Hay ciertas situaciones en las que los usuarios querrían utilizar XML-RPC. Sin embargo, con los avances de la tecnología, el uso y la funcionalidad de XML-RPC se ha reducido mucho desde su creación. Por lo tanto, las ventajas originales que ofrecía esta función se han visto superadas por los riesgos potenciales de seguridad que implica dejarla activada.
Xmlrpc php a ssrf
TL;DR: Desactivar XML-RPC en WordPress no es una solución real. Tarde o temprano, los hackers encontrarán alguna otra vulnerabilidad que explotar. Le recomendamos que instale un potente cortafuegos de WordPress en su lugar para bloquear los bots y las IPs maliciosas.
Hemos visto a casi todos los sitios experimentar esto. Si has utilizado contraseñas fuertes, las posibilidades de que tu sitio sea hackeado por este motivo son mínimas. De los más de 10.000 sitios pirateados que hemos visto, menos del 5% han sido pirateados debido a este tipo de ataques.
Sin embargo, este tipo de ataques -conocidos como ataques de fuerza bruta- consumen recursos del servidor. Incluso si ha protegido sus páginas de inicio de sesión y de administración, estos ataques pasan por alto esas páginas por completo, por lo que hacen que el servidor se sobrecargue.
XML-RPC es una función de WordPress que permite la transferencia de datos entre WordPress y otros sistemas. Ahora ha sido reemplazado en gran medida por la API REST, pero todavía se incluye en las instalaciones para la compatibilidad hacia atrás.
La única razón por la que su instalación de WordPress todavía tiene el archivo xmlrpc.php es por compatibilidad con versiones anteriores. En palabras más sencillas, está pensado sólo para los sitios web que todavía se ejecutan en una versión MUY antigua de WordPress.
Fuerza bruta Xmlrpc
Han surgido algunas preguntas en nuestra reciente entrada del blog, donde hablamos de los ataques de fuerza bruta XML-RPC, sobre la desactivación de XML-RPC en WordPress. Para disipar cualquier confusión, pensamos en describir exactamente lo que hace XML-RPC y si debería considerar su desactivación.
XML-RPC en WordPress es en realidad una API o “interfaz de programa de aplicación”. Ofrece a los desarrolladores de aplicaciones móviles, aplicaciones de escritorio y otros servicios la posibilidad de comunicarse con su sitio de WordPress. La API XML-RPC que proporciona WordPress ofrece a los desarrolladores una forma de escribir aplicaciones (para usted) que pueden hacer muchas de las cosas que usted puede hacer cuando se conecta a WordPress a través de la interfaz web. Esto incluye:
Usemos un ejemplo para ilustrarlo: Tienes una aplicación en tu iPhone que te permite moderar los comentarios de WordPress. Alguien le aconseja que desactive XML-RPC. Tu aplicación para iPhone deja de funcionar de repente porque ya no puede comunicarse con tu sitio web utilizando la API que acabas de desactivar.
Para nosotros, desactivar XML-RPC tiene un coste. Estás deshabilitando una de las principales API de WordPress. Durante un tiempo ofrecimos esta posibilidad, pero la eliminamos porque la propia prevención de abuso de la API de WordPress ha mejorado. Además, ofrecer la posibilidad de deshabilitar XML-RPC causaba confusión entre los usuarios cuando sus aplicaciones se rompían porque no podían acceder a la API.