• Mostrando resultados da busca por {{ posts_busca["corrected"] }} {{termo_busca}}
  • {{post.title}}
  • Não foram encontrados resultados para {{ posts_busca["corrected"] }} {{termo_busca}}

Para que serve o arquivo xmlrpc.php no WordPress

André Brasil - Time de Atendimento da KingHost

Basicamente, o xmlrpc permite a comunicação do seu site com a API do WordPress e que outros sites WordPress possam fazer referências às suas postagens.

Primeiramente, vamos entender melhor sobre o xmlrpc.php.
O XML-RPC (XML Remote Procedure Call) é uma interface de comunicação remota utilizada pelo WordPress e ativada por padrão desde a versão 3.5.
O seu uso é efetuado via arquivo: xmlrpc.php.

Portanto, basicamente ele permite a comunicação do site com a API do WordPress e também faz com que outros administradores de sites WordPress possam fazer referências às suas postagens (trackbacks e pingbacks). Além disso, falando de plugins, o Jetpack o utiliza em larga escala.

Seu uso traz insegurança para o site

As principais dificuldades de segurança que o uso do XML-RPC traz para um site WordPress são:

Ataques Brute-Force: Um método dentro de xmlrpc.php permite que o atacante use um único comando (system.multicall) para adivinhar centenas de senhas. Com apenas 4 solicitações HTTP, os invasores podem tentar milhares de senhas, ignorando ferramentas de segurança projetadas para bloquear tentativas de força bruta.

DDoS via pingback: Dá a qualquer atacante um conjunto praticamente ilimitado de endereços IP para distribuir um ataque de negação de serviço em uma rede de sites WordPress.

Como se proteger ao utilizar xml-rpc?

Utilizar nome de usuários incomuns e senhas bem fortes (vários caracteres, números, maiúsculos e minúsculos). Como resultado, isso irá proteger o site aos ataques de força bruta. Portanto uma senha bem elaborada pode levar de meses a anos para ser quebrada por um software de brute-force.

Bloquear acesso ao arquivo xmlrpc.php através de regra .htaccess.
É extremamente importante que a senha de FTP também seja forte o suficiente para que o conteúdo não seja invadido.

Bloqueando o acesso ao arquivo xmlrpc.php através do .htacess

Adicione a seguinte regra dentro do arquivo .htaccess:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

Por padrão, nossos planos de hospedagem WordPress bloqueiam o uso do XML-RPC.
Se precisa utilizar o recurso, abra um chamado através do seu Painel de Controle solicitando o uso do xmlrpc.

Oi! Eu sou André Brasil e quero te convidar para assinar nossa newsletter e ficar por dentro das novidades.
Enviar conteúdo por email
7304 visualizações

Esse artigo foi útil pra você?