Cómo deshabilitar XML-RPC en WordPress

WordPress XML-RPC es una funcionalidad bastante anticuada incorporada al CMS de WordPress. Es un medio para estandarizar las comunicaciones entre un sitio de WordPress y otras tecnologías web o móviles. Si es un usuario de WordPress, este tutorial le dirá qué es XML-RPC y por qué es una buena idea desactivarlo para protegerse.

Cómo funciona XML-RPC

Su sitio web de WordPress está diseñado para funcionar en la Web. Utiliza tecnologías web centrales como HTML, CSS y PHP. Todos estos archivos están bien guardados en carpetas dentro de su servidor de alojamiento.

Cuando un visitante hace clic en su nombre de dominio o en cualquiera de sus derivados, llega a su página web. La carpeta específica que contiene la información que quieren descargar en su navegador. Ahora el navegador interpreta esta información y se la muestra.

Pero, ¿qué sucede si no desea acceder a su sitio web mediante un navegador? ¿Qué sucede si desea acceder a él desde un software de administración personalizado o incluso desde una aplicación móvil?

El XML-RPC de WordPress cubre este problema.

XML-RPC es una API que envuelve la información esencial dentro de un archivo XML simple y lo envía a la aplicación móvil o software remoto. La aplicación móvil luego infla esta información con su propio diseño preconfigurado. En este caso, la aplicación móvil ya no necesita descargar archivos importantes de la página web, y aún puede acceder a sus datos en una aplicación ingeniosa.

Por muy bueno que parezca, el único problema es que tendrá que enviar su nombre de usuario y contraseña cada vez que desee autenticarse mediante XML-RPC. Esto lo hace muy vulnerable al ataque de un hacker.

Cómo XML-RPC lo hace vulnerable

XML-RPC deja su sitio vulnerable a ataques de al menos dos formas: ataques de fuerza bruta y robo de credenciales de inicio de sesión .

1. Ataques de fuerza bruta

Los atacantes intentan infectar su sitio web mediante un ataque de fuerza bruta.

Un ataque de fuerza bruta es simplemente un juego de adivinanzas. El atacante intenta adivinar su contraseña una y otra vez hasta que lo consigue.

Sucede varios miles de veces por segundo, por lo que pueden probar millones de combinaciones en un período corto.

En un sitio de WordPress, puede limitar fácilmente los ataques de fuerza bruta al limitar los intentos de inicio de sesión para su sitio web. Sin embargo, el problema con XML-RPC es que no limita los intentos de inicio de sesión en su sitio.

Un atacante puede seguir adivinando engañando a su servidor que es un administrador que busca recuperar cierta información. Y debido a que no tienen las credenciales correctas, todavía no pueden acceder a su sitio, por lo que siguen intentándolo varias veces sin fin.

Dado que no hay límite para la cantidad de pruebas, es solo cuestión de tiempo antes de que obtengan acceso. De esta manera, un hacker también puede derribar fácilmente un sitio mediante un ataque DDOS XML-RPC (enviando oleadas de solicitudes de “pingback” a XML-RPC para sobrecargar y bloquear el servidor).

2. Interceptar / Robar información de inicio de sesión

Otra debilidad del XML-RPC es el ineficaz sistema de autenticación. Cada vez que envía una solicitud para acceder a su sitio web, también debe enviar sus credenciales de inicio de sesión. Esto significa que su nombre de usuario y contraseña están expuestos.

Los piratas informáticos pueden estar al acecho a la vuelta de la esquina para interceptar este paquete de información. Una vez que tienen éxito, ya no necesitan pasar por los rigores de los ataques de fuerza bruta. Simplemente entran en su sitio web con sus credenciales válidas.

¿Debo deshabilitar XML-RPC en WordPress?

Desde la versión 3.5 de WordPress, ha habido tantas mejoras en el código XML-RPC que el equipo de WordPress lo consideró lo suficientemente seguro como para estar habilitado de forma predeterminada. Si confía en aplicaciones móviles o software remoto para administrar su sitio de WordPress, probablemente no debería deshabilitar XML-RPC.

Si está muy consciente de la seguridad de su servidor, puede ser mejor deshabilitarlo ya que encubría una forma posible que los piratas informáticos pueden usar para atacar su sitio.

Cómo deshabilitar XML-RPC en WordPress

XML-RPC está habilitado de forma predeterminada en WordPress, pero hay varias formas de deshabilitarlo.

Nota : si está utilizando el popular complemento JetPack , no puede deshabilitar XML-RPC, ya que es necesario para que Jetpack se comunique con el servidor. Además, antes de deshabilitar XML-RPC, asegúrese de que ninguno de sus complementos o temas lo esté usando.

Deshabilitar XML-RPC

1. Busque la carpeta de su tema (generalmente en “wp-content / themes /”) y abra el archivo “functions.php”.

2. Pegue los siguientes comandos al final del archivo:

Guarde el archivo “functions.php”. Esto desactivará la funcionalidad XML-RPC en WordPress. Tenga en cuenta que este método solo deshabilita XML-RPC, pero no impide que los piratas informáticos ataquen su sitio, ya que el archivo xml-rpc.php está disponible.

Bloquear el acceso al archivo XML-RPC

La mejor manera de evitar que los piratas informáticos ataquen es bloquear el acceso al archivo xml-rpc.

Servidor Apache

Si su sitio de WordPress se ejecuta en un servidor Apache (si ve un archivo “.htaccess” en su carpeta de instalación de WordPress, puede estar bastante seguro de que su sitio está alojado en un servidor Apache), siga estos pasos.

1. Inicie sesión en su CPanel. Busque Administrador de archivos.

2. Abra el administrador de archivos. Navegue a la carpeta “public_html” y luego al documento “.htaccess”.

3. Haga clic derecho para editar el archivo.

4. En la parte inferior del archivo, pegue el siguiente código:

5. Guarde y salga.

Servidor Nginx

Para el servidor Nginx, pegue el siguiente código en el archivo de configuración de su servidor:

Ahora su sitio está protegido contra ataques.

En conclusión

Los ataques de fuerza bruta y el robo de datos seguirán planteando problemas a los propietarios de sitios. Es su deber asegurarse de que su sitio sea seguro . Deshabilitar XML-RPC es una forma eficaz de hacer esto. Siga la guía anterior y proteja su sitio web y a los visitantes de los piratas informáticos ahora.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario