Su socio de alojamiento web de confianza desde 2008. ¡Obtenga VPS ahora!
Apoyo  +373 79 600002
Spanish Flag Español
Acceso Registro
Support  +373 79 600002
Spanish Flag Español
Registro Acceso
+373 79 600002
Su socio de alojamiento web de confianza desde 2008. ¡Obtenga VPS ahora!
Pon a prueba tus habilidades en todos nuestros servicios de Hosting y ¡obtén un 15% de descuento!

Utiliza el código al pagar:

Skills
10.10.2024
Administración

Cómo y por qué activar y desactivar XMLRPC.PHP en WordPress

xmlrpc.php es un archivo de WordPress que permite el acceso remoto a su sitio web. Permite que aplicaciones externas, como aplicaciones móviles, herramientas de terceros y pingbacks, interactúen con tu sitio de WordPress. Aunque esta funcionalidad puede ser útil, también conlleva riesgos de seguridad, por lo que muchos propietarios de sitios WordPress optan por desactivar xmlrpc.php cuando no lo necesitan. Esta guía le explicará qué es xmlrpc.php, por qué podría querer activarlo o desactivarlo y cómo hacerlo de forma segura

¿Qué es xmlrpc.php en WordPress?

  • xmlrpc.php es un archivo del núcleo de WordPress que permite el acceso remoto a su sitio web a través del protocolo XML-RPC.
  • Se utiliza para realizar acciones como
    • Publicar posts desde aplicaciones remotas.
    • Gestionar comentarios de forma remota.
    • Activar pingbacks y trackbacks.
    • Conectar aplicaciones de WordPress en dispositivos móviles a su sitio web.
  • Ejemplos de uso
    • Publicación de entradas desde aplicaciones móviles de WordPress.
    • El plugin Jetpack utiliza xmlrpc.php para algunas de sus funciones.
    • Integración de servicios de terceros que utilizan XML-RPC para la transferencia de datos.

¿Por qué debería desactivar xmlrpc.php?

xmlrpc.php puede plantear riesgos de seguridad, por lo que muchos propietarios de sitios web optan por desactivarlo, especialmente si no utilizan funciones que dependen de él

Riesgos de seguridad comunes asociados con xmlrpc.php:

  1. Ataques de fuerza bruta
    • Los atacantes pueden utilizar xmlrpc.php para realizar ataques de fuerza bruta probando múltiples nombres de usuario y contraseñas a través de peticiones XML-RPC.
    • Esto puede hacerse más eficientemente usando xmlrpc.php porque una sola petición puede probar múltiples intentos de login.
  2. Ataques DDoS
    • xmlrpc.php puede ser utilizado en ataques de Denegación de Servicio Distribuido (DDoS) para saturar un sitio con peticiones pingback, llevando al agotamiento de recursos y tiempo de inactividad.
  3. Explotación de Pingbacks
    • Los actores maliciosos pueden utilizar la función pingback en xmlrpc.php para amplificar los ataques DDoS o generar grandes volúmenes de spam.

Cuándo habilitar xmlrpc.php?

  • Debería mantener xmlrpc.php habilitado si
    • Necesitas publicar entradas desde la aplicación móvil de WordPress.
    • Utilizas plugins o herramientas que dependen de XML-RPC, como Jetpack.
    • Necesitas capacidades de publicación remota a través de servicios externos.

Si no necesita estas funciones, es más seguro desactivar xmlrpc.php para minimizar los riesgos de seguridad

Cómo desactivar xmlrpc.php en WordPress

Método 1: Deshabilitar xmlrpc.php usando un plugin (Recomendado)

Usar un plugin es la forma más fácil de deshabilitar xmlrpc.php sin tocar ningún código

Paso 1: Instale un plugin

  • Instale un plugin de seguridad como Disable XML-RPC-API o All In One WP Security & Firewall.
  • Para ello, vaya a Plugins > Añadir nuevo en el panel de control de WordPress, busque el plugin y haga clic en Instalar ahora y, a continuación, en Activar.

Paso 2: Configurar el plugin

  • Si está usando Disable XML-RPC-API
    • Después de activar el plugin, xmlrpc.php se desactivará automáticamente.
  • Si usa All In One WP Security & Firewall
    • Vaya a WP Security > Firewall.
    • Encuentre la sección XML-RPC y deshabilite las opciones XML-RPC.

Método 2: Deshabilitar xmlrpc.php Usando .htaccess (Avanzado)

Si se siente cómodo editando el archivo .htaccess, puede bloquear el acceso a xmlrpc.php directamente a nivel de servidor

Paso 1: Editar el archivo .htaccess

  1. Acceda al directorio raíz de WordPress a través de FTP o del gestor de archivos de su proveedor de alojamiento web (a menudo denominado public_html).
  2. Abra el archivo .htaccess para editarlo.
  3. Añada el siguiente código al final del archivo .htaccess
    # Bloquear todos los accesos a xmlrpc.php <Archivos xmlrpc.php> Orden Permitir,Denegar Denegar desde todos </Archivos>.
  4. Guarde los cambios y suba el archivo .htaccess actualizado a su servidor.

Resultado:

  • Este código impide cualquier acceso externo a xmlrpc.php, deshabilitándolo de forma efectiva.

Método 3: Deshabilitar xmlrpc.php usando Functions.php (Código personalizado)

También puede desactivar XML-RPC a través del archivo functions.php de su tema

Paso 1: Edite functions.php

  1. Vaya a Apariencia > Editor de Temas en su panel de WordPress.
  2. Seleccione el archivo functions.php de la barra lateral derecha.
  3. Añada el siguiente código
    // Desactivar XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  4. Haga clic en Actualizar archivo para guardar los cambios.

Resultado:

  • Este código desactivará la funcionalidad XML-RPC en WordPress.

Método 4: Usar la configuración de seguridad de su proveedor de alojamiento web

Algunos proveedores de alojamiento web proporcionan opciones para desactivar XML-RPC a través de su panel de control

  • Acceda a su cuenta de alojamiento web.
  • Busque las opciones relacionadas con la seguridad de WordPress o la configuración de la aplicación.
  • Si está disponible, deshabilite el acceso a XML-RPC a través del panel de seguridad.

Cómo habilitar xmlrpc.php en WordPress

Si previamente deshabilitó xmlrpc.php y necesita volver a habilitarlo, simplemente invierta los pasos utilizados para deshabilitarlo

  • Si utilizó un plugin como Disable XML-RPC-API, desactive o desinstale el plugin.
  • Si ha añadido código a .htaccess o functions.php, elimine el código y guarde los cambios.
  • Si desactivó XML-RPC a través de su proveedor de alojamiento web, utilice el panel de control del proveedor de alojamiento para volver a activar el acceso a XML-RPC.

Resumen

En WordPress, el archivo xmlrpc.php permite el acceso remoto y la interacción entre su sitio web y aplicaciones o servicios externos. Esto puede ser conveniente para funciones como la publicación de aplicaciones móviles o la conexión de herramientas de terceros. Sin embargo, debido a que crea un punto de entrada adicional en su sitio, a menudo se convierte en un objetivo para los intentos de fuerza bruta, spam e incluso ataques DDoS. Para minimizar estos riesgos, muchos propietarios de sitios web optan por desactivar xmlrpc.php si no utilizan activamente sus funciones. Esto se puede lograr a través de diferentes métodos, tales como la instalación de un plugin de seguridad dedicado, la adición de reglas al archivo .htaccess, o la modificación del archivo functions.php en su tema. Por ejemplo, añadiendo una simple línea como deny from all dentro de una directiva .htaccess dirigida a xmlrpc.php, puedes bloquear instantáneamente el acceso externo a este archivo. Si en algún momento necesita la publicación remota o la integración de aplicaciones, el cambio se puede revertir fácilmente. Al entender cuándo habilitar o deshabilitar xmlrpc.php, te aseguras de que tu sitio WordPress permanezca seguro sin sacrificar las características que realmente necesitas.

Pon a prueba tus habilidades en todos nuestros servicios de Hosting y ¡obtén un 15% de descuento!

Utiliza el código al pagar:

Skills