La seguridad e integridad de tu sitio web es un asunto muy importante, y por tanto debe considerarse como tal. Los hackers siempre buscan las posibles formas de acceder a tu sitio, y una de las vías más usadas es mediante el archivo xml-rpc.php que existe en cualquier instalación de WordPress. Por eso, hoy te mostraremos cómo deshabilitar XML-RPC en WordPress, y darte más tranquilidad a ti mismo, y seguridad para tu página web.
¿Qué es XML-RPC en WordPress?
XML-RPC en WordPress es una API o «Interfaz de Programación de Aplicación» que es un conjunto de definiciones o protocolo en código, que le ofrece a los desarrolladores una forma de escribir (en código) aplicaciones que pueden hacer tareas parecidas a las que haces cuando accedes a tu WordPress desde un navegador web.
Por ejemplo, WordPress tiene una aplicación Android que puedes descargar en Google Play, y que te permite hacer bastantes cosas de forma muy rápida y enfocada. Para que esta aplicación funcione, necesitas de XML-RPC, que está habilitado de forma predeterminada.
Jetpack es uno de los plugins más populares de WordPress que utiliza la API de XML-RPC para ofrecer algunas de sus características, incluso para conectar tu sitio web con los servidores de Automattic, proveedores el plugin Jetpack, debes habilitar XML-RPC en el sitio.
Deshabilitar XML-RPC
Sin duda alguna XML-RPC es una gran característica que ofrece WordPress, y una de las más importantes APIs que tiene este gestor de contenido, sin embargo, en muchos casos los sitios web no utilizan aplicaciones para realizar tareas que normalmente hacen desde un ordenador de mesa o portátil.
Además, dos de los ataques más conocidos que sufren los sitios que usan WordPress utilizan el archivo xmlrpc.php para hackear tu página web, que son ataques DDoS, además de ataques de fuerza bruta mediante XML-RPC.
Por eso, si no usas ninguna aplicación móvil para gestionar algunas tareas de tu sitio web, y tampoco utilizas plugins como Jetpack, BuddyPress, App de WordPress, entre pocos otros, entonces te recomendamos deshabilitar XML-RPC.
¿Cómo Deshabilitar XML-RPC?
Antes de realizar cualquier acción manual en tu sitio web, siempre te recomendamos crear un backup completo de todos los archivos de tu instalación de WordPress, junto con la base de datos, y guardarlo en un lugar seguro fuera del servidor.
Algunos de los servicios de hospedaje deshabilitan el archivo xmlrpc.php de forma predeterminada en su configuración del servidor, como medida de seguridad, para proteger tu sitio web.
Sin embargo, si tu proveedor de hospedaje no lo hace, aquí te explicaremos cómo deshabilitar XML-RPC de forma correcta y rápida.
Deshabilitar XML-RPC con Archivo .htaccess
Primero que todo, necesitas acceder al archivo .htaccess que está ubicado en la carpeta raíz de tu instalación. Accedes con un programa FTP, y lo encuentras junto con la carpeta wp-content, wp-admin y otros archivos.
<files xmlrpc.php> order allow,deny deny from all </files>
Pegas el código que aparece arriba, en la parte inferior del archivo .htaccess para que puedas deshabilitar XML-RPC en tu WordPress correctamente. Este código deshabilita el acceso al archivo xmlrpc.php a cualquier persona o aplicación que intenta usarlo.
<files xmlrpc.php> require ip 127.0.0.1 </files>
En su lugar también puedes usar este código, que utiliza otro enfoque. Lo que hace este código es que require que el acceso al archivo sea de la IP local del usuario, o sea del propietario del sitio web, de lo contrario no funciona.
Deshabilitar XML-RPC con Plugin
Si no te gusta editar los archivos de tu instalación, y prefieres una forma más «limpia» de realizar las tareas técnicas en tu sitio web, entonces la mejora forma es usar un plugin que te permite desactivar XML-RPC de forma fáil y rápida.
En el repositorio oficial de WordPress encuentras una variedad de plugins para desactivar XML-RPC en WordPress. No importa cuál eliges, la gran mayoría cumple con la tarea.
Esto es todo, te invitamos a darle me gusta a nuestra página en Facebook, y seguirnos por Twitter, para obtener nuestro exclusivo contenido de tutoriales para mejorar la seguridad y optimizar tu sitio web.
