Como Deshabilitar o Desactivar el archivo xmlrpc.php en WordPress

Publicado el 1 de Julio de 2015
En la Categoria Internet

Durante la supervisión de mi servidor tengo avisos con número de solicitudes del archivo xmlrpc.php.

Todos y cada uno de esas solicitudes tomó 200MB a 205 MB de RAM y dio lugar a la inestabilidad del sistema y, en algunas ocasiones que causó que los 8GB de ram colapsara y, finalmente se estrelló el servidor dejando todos mis sitios que no funcionen hasta un reinicio.

Recientemente he leído que muchos crackers utilizan ahora el archivo xmlrpc.php en lugar de wp-login.php para ejecutar sus ataques de fuerza bruta.

Y el problema es que desde WordPress 3.5 no se puede desactivar el uso de xmlrpc, al menos no desde el panel de control de WordPress.

Hay muchas maneras de hacerlo y voy a escribir algunas.

Como Deshabilitar o Desactivar el archivo xmlrpc.php en WordPress 1

Como desactivar o desabilitar el archivo xmlrpc.php

Paso 1: Eliminación del archivo xmlrpc.php

realmente no se recomienda pero, También se puede actualizar el archivo por otro en blanco pero no es muy inteligente para hacer esto, pero yo sólo quería escribir esto sólo en caso de que alguien no trata de hacer esto.

Paso 2: Con Plugins

Hay varios plugins que pueden hacer esto.

Encontré estos dos para ser los más utilizados:

Disable XML-RPC y XML-RPC Pinkback, Ambos plugins son muy básicos, pero que debe ser capaz de ayudarle y proteger tu blog contra esos ataques.

Paso 3: Agregar un filtro para archivo de tema functions.php

Esto es básicamente lo mismo que el plugin anterior, pero tienes una plugin menos.

Todo lo que necesitas hacer es editar el archivo functions.php de tu tema y añadir este par de líneas:

function remove_x_pingback($headers) {
unset($headers[‘X-Pingback’]);
return $headers;
}
add_filter(‘wp_headers’, ‘remove_x_pingback’);
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
4. Block access at .htaccess
You can simply add this one line of code to your .htaccess file and block the access to the xmlrpc.php file entirely. User accessing the xmlrpc.php will get the 403 Forbidden error.

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
5. Blocking access in nginx
If you are running nginx instead of Apache you should add this code to your nginx configuration:

server {
location = /xmlrpc.php {
deny all;
}
}

Paso 6: Bloquear el servidor completo

Si usted tiene un servidor o VPS con decenas de cientos de instalaciones de WordPress (como yo) ninguna de las soluciones anteriores tomará tiempo para poner en práctica.

Así que lo mejor que puede hacer es bloquear el acceso a archivos xmlrpc.php en el nivel de Apache, simplemente añadiendo esto a archivo httpd.conf:

<FilesMatch “^(xmlrpc\.php)”>
Order Deny,Allow
Deny from all
</FilesMatch>

O mejor aún añadiendo el código (que bloquea también wp-trackback.php y también evitar intentos de cracking).

<FilesMatch “^(xmlrpc\.php|wp-trackback\.php)”>
Order Deny,Allow
Deny from all
</FilesMatch>

Si usted no utiliza XML-RPC que se puede desactivar con seguridad utilizando cualquiera de los métodos anteriores (excepto el primero, de curso) y proteger tu blog contra cracks de xmlrpc.

Valora este artículo para mejorar la calidad de nuestro blog ...
PobreRegularEsta BienMuy BuenoExcelente (Ninguna valoración todavía)
Cargando…

Deja un Comentario