{"id":2584,"date":"2017-01-13T11:07:18","date_gmt":"2017-01-13T13:07:18","guid":{"rendered":"https:\/\/www.kinghost.com.br\/wiki\/?post_type=article&#038;p=2584"},"modified":"2024-10-04T15:55:53","modified_gmt":"2024-10-04T18:55:53","slug":"arquivo-xmlrpc-php-no-wordpress","status":"publish","type":"article","link":"https:\/\/king.host\/wiki\/artigo\/arquivo-xmlrpc-php-no-wordpress\/","title":{"rendered":"Para que serve o arquivo xmlrpc.php no WordPress"},"content":{"rendered":"\n<p><em>Basicamente, o xmlrpc permite a comunica\u00e7\u00e3o do seu site com a API do WordPress e que outros sites WordPress possam fazer refer\u00eancias \u00e0s suas postagens.<\/em><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a class=\"deve-redirecionar\" href=\"https:\/\/king.host\/hospedagem-wordpress?utm_source=wiki&amp;utm_medium=banner&amp;utm_term=wp-banner-top&amp;utm_content=arquivo-xmlrpc-php-no-wp&amp;utm_campaign=oferta-produto\" target=\"_blank\" v-on:click=\"toggle_modal\" rel=\"noopener\"><img data-original=\"https:\/\/king.host\/wiki\/wp-content\/uploads\/2021\/10\/WP-970x250-1-960x247.png\" alt=\"Plataforma completa para um site WordPress.\" class=\"wp-image-22356\"\/><\/a><\/figure>\n\n\n\n<p>Primeiramente, vamos entender melhor sobre o <strong>xmlrpc.php<\/strong>.<br>O XML-RPC (XML Remote Procedure Call) \u00e9 uma interface de comunica\u00e7\u00e3o remota utilizada pelo WordPress e ativada por padr\u00e3o desde a vers\u00e3o 3.5.<br>O seu uso \u00e9 efetuado via arquivo: <prompt><strong>xmlrpc.php<\/strong><\/prompt>. <\/p>\n\n\n\n<p>Portanto, basicamente ele permite a comunica\u00e7\u00e3o do site com a API do WordPress e tamb\u00e9m faz com que outros administradores de sites WordPress possam fazer refer\u00eancias \u00e0s suas postagens (trackbacks e pingbacks). Al\u00e9m disso, falando de plugins, o Jetpack o utiliza em larga escala.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Seu_uso_traz_inseguranca_para_o_site\"><\/span>Seu uso traz inseguran\u00e7a para o site<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>As principais dificuldades de seguran\u00e7a que o uso do XML-RPC traz para um site WordPress s\u00e3o:<\/p>\n\n\n\n<p><i class=\"fa fa-angle-right\"><\/i> <strong>Ataques Brute-Force<\/strong>: Um m\u00e9todo dentro de xmlrpc.php permite que o atacante use um \u00fanico comando (system.multicall) para adivinhar centenas de senhas. Com apenas 4 solicita\u00e7\u00f5es HTTP, os invasores podem tentar milhares de senhas, ignorando ferramentas de seguran\u00e7a projetadas para bloquear tentativas de for\u00e7a bruta.<\/p>\n\n\n\n<p><i class=\"fa fa-angle-right\"><\/i> <strong>DDoS via pingback<\/strong>: D\u00e1 a qualquer atacante um conjunto praticamente ilimitado de endere\u00e7os IP para distribuir um ataque de nega\u00e7\u00e3o de servi\u00e7o em uma rede de sites WordPress.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Como_se_proteger_ao_utilizar_xml-rpc\"><\/span>Como se proteger ao utilizar xml-rpc?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Utilizar nome de usu\u00e1rios incomuns e senhas bem fortes (v\u00e1rios caracteres, n\u00fameros, mai\u00fasculos e min\u00fasculos). Como resultado, isso ir\u00e1 proteger o site aos ataques de for\u00e7a bruta. Portanto uma senha bem elaborada pode levar de meses a anos para ser quebrada por um software de brute-force.<\/p>\n\n\n\n<p><i class=\"fa fa-angle-right\"><\/i> Bloquear acesso ao arquivo xmlrpc.php atrav\u00e9s de regra .htaccess.<br>\n\u00c9 extremamente importante que a senha de FTP tamb\u00e9m seja forte o suficiente para que o conte\u00fado n\u00e3o seja invadido.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Bloqueando_o_acesso_ao_arquivo_xmlrpcphp_atraves_do_htacess\"><\/span>Bloqueando o acesso ao arquivo xmlrpc.php atrav\u00e9s do .htacess<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Adicione a seguinte regra dentro do arquivo .htaccess:\n<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\" lang=\"wp-block-preformatted\">&lt;Files xmlrpc.php&gt;<br>Order Allow,Deny<br>Deny from all<br>&lt;\/Files&gt;<\/pre>\n\n\n\n<p><alerta><strong>Por padr\u00e3o, nossos planos de hospedagem WordPress bloqueiam o uso do XML-RPC<\/strong>.<br>\nSe precisa utilizar o recurso, abra um chamado atrav\u00e9s do seu Painel de Controle solicitando o uso do xmlrpc.<\/alerta><\/p>\n\n\n\n<p class=\"has-background\" style=\"background-color:#ebe6f0\">Quer saber mais? Continue sua leitura no blog da KingHost. Confira abaixo!<br><a href=\"https:\/\/king.host\/blog\/tecnologia\/o-que-e-ddos\/\" target=\"_blank\" rel=\"noopener\" title=\"\">O que \u00e9 DDoS e como se proteger desse tipo de ataque<\/a><\/p>\n","protected":false},"author":9,"featured_media":0,"menu_order":40,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","article-category":[214],"article-tag":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/2584"}],"collection":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article"}],"about":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/types\/article"}],"author":[{"embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/comments?post=2584"}],"version-history":[{"count":3,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/2584\/revisions"}],"predecessor-version":[{"id":25505,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/2584\/revisions\/25505"}],"wp:attachment":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/media?parent=2584"}],"wp:term":[{"taxonomy":"article-category","embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article-category?post=2584"},{"taxonomy":"article-tag","embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article-tag?post=2584"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}