{"id":9770,"date":"2018-05-16T15:16:51","date_gmt":"2018-05-16T18:16:51","guid":{"rendered":"https:\/\/blog.hostinger.io\/br-tutoriais\/?p=9770"},"modified":"2023-08-04T20:37:47","modified_gmt":"2023-08-04T23:37:47","slug":"o-que-e-xmlrpc-php","status":"publish","type":"post","link":"\/br\/tutoriais\/o-que-e-xmlrpc-php","title":{"rendered":"O que \u00e9 xmlrpc.php no WordPress e por que voc\u00ea deve desativ\u00e1-lo"},"content":{"rendered":"

O WordPress sempre teve recursos embutidos que permitem que você interaja remotamente com o seu site. Às vezes, você precisa acessar seu site e seu computador não vai estar disponível para isso.<\/span><\/p>

Por muito tempo, essa solução era o arquivo <\/span>xmlrpc.php<\/b>. Desde os primórdios do WordPress, foram incorporados recursos que permitiram que o WordPress se comunicasse com outros sistemas. Mas nos últimos anos, <\/span>xmlrpc.php<\/b> se tornou mais um problema do que uma solução.<\/span><\/p>

Neste artigo nós vamos explicar o que é <\/span>xmlrpc.php<\/b> realmente é e porque ele foi criado. Também analisamos os problemas comuns de segurança que ele causa e como corrigi-los em seu próprio site WordPress.<\/span><\/p>

\"\"<\/a><\/figure>

O que é xmlrpc.php?<\/b><\/h2>

O <\/span>XML-RPC<\/b> é um recurso do WordPress que permite que dados sejam transmitidos, com HTTP agindo como mecanismo de transporte e XML como mecanismo de codificação. Como o WordPress não é um sistema “fechado” e, ocasionalmente, precisa se comunicar com outros sistemas, esse sistema foi feito para lidar com esse trabalho.<\/span><\/p>

Por exemplo, digamos que você queira postar no seu site a partir do seu dispositivo móvel, já que está sem um computador. Você poderia usar o recurso de acesso remoto ativado por <\/span>xmlrpc.php<\/b> para fazer exatamente isso.<\/span><\/p>

Com o <\/span>xmlrpc.php<\/b> habilitado, você consegue se conectar ao seu site via smartphone, implementando trackbacks e pingbacks de outros sites, e algumas funções associadas ao plugin Jetpack.<\/span><\/p>

Por qual motivo foi criado e como foi usado?<\/b><\/h2>

Você já sabe o que é xmlrpc.php, agora resta saber o motivo da criação. Bom, a implementação do <\/span>XML-RPC<\/b> vem desde os primórdios do WordPress, antes mesmo de se tornar WordPress. No início da internet, quando as conexões eram incrivelmente lentas, o processo de escrever e publicar na web era muito mais difícil e demorado.<\/span><\/p>

Ao invés de escrever no próprio navegador, a maioria das pessoas escrevia offline, depois copiava e colava o conteúdo na web. Ainda assim, esse processo estava longe de ser ideal. <\/span><\/p>

A solução (na época) era criar um cliente de blog offline, onde você poderia compor seu conteúdo, depois conectar-se ao seu blog para publicá-lo. Essa conexão foi feita através do <\/span>XML-RPC<\/b>.<\/span><\/p>

Com a estrutura básica do XML-RPC funcionando, os primeiros aplicativos usavam essa mesma conexão para permitir que as pessoas acessassem seus sites do WordPress de outros dispositivos.<\/span><\/p>

XML-RPC hoje<\/b><\/h3>

Em 2008, com a versão 2.6 do WordPress, havia uma opção para ativar ou desativar o <\/span>XML-RPC<\/b>. No entanto, com o lançamento do aplicativo WordPress para iPhone, o suporte a XML-RPC foi habilitado por padrão e não havia opção para desativar a configuração. Isso permanece até hoje.<\/span><\/p>

No entanto, a funcionalidade desse arquivo diminuiu bastante com o tempo, e o tamanho geral do arquivo diminuiu de <\/span>83 kb <\/b>para <\/span>3 kb<\/b>, de modo que ele não desempenha um papel tão grande quanto costumava.<\/span><\/p>

XML-RPC no futuro<\/b><\/h3>

Com a nova <\/span>API<\/b> do WordPress, podemos esperar que o <\/span>XML-RPC<\/b> seja totalmente eliminado. Hoje, essa nova API ainda está em fase de teste e só pode ser ativada com o uso de um plugin. <\/span>No entanto, você pode esperar que, no futuro, a API seja codificada diretamente no núcleo do WordPress, o que eliminará a necessidade do arquivo <\/span>xmlrpc.php<\/b>. <\/span>A nova API não é perfeita, mas fornece uma solução mais robusta e segura para o problema que o <\/span>xmlrpc.php <\/b>tenta solucionar.<\/span><\/p>

Por que você deve desativar xmlrpc.php<\/b><\/h2>

Agora que você já sabe o que é xmlrpc.php e como funciona, precisa entender o principal, que são os problemas que ele traz. Os maiores problemas com o <\/span>XML-RPC<\/b> são as preocupações de segurança que surgem. Os problemas não estão diretamente com o <\/span>XML-RPC<\/b>, mas sim como o arquivo pode ser usado para ativar um ataque no seu site.<\/span><\/p>

Claro, você pode se proteger com senhas fortes e plugins de segurança do WordPress. Mas o melhor modo de proteção é simplesmente desativá-lo. Existem duas principais fraquezas do <\/span>XML-RPC<\/b> que foram exploradas no passado.<\/span><\/p>

O primeiro é usar ataques para entrar no seu site. Um invasor tentará acessar seu site usando <\/span>xmlrpc.php<\/b> e tentando várias combinações de nome de usuário e senha. Eles podem efetivamente usar um único comando para testar centenas de senhas diferentes. Isso permite que eles ignorem as ferramentas de segurança que normalmente detectam e bloqueiam esses tipos de ataque.<\/span><\/p>

O segundo foi derrubar um site realizando um ataque DDoS<\/b>. Hackers usariam o recurso pingback no WordPress para enviar pingbacks para milhares de sites instantaneamente. Esse recurso em xmlrpc.php fornece aos hackers um suprimento quase infinito de endereços IP para distribuir um ataque DDoS.<\/span><\/p>

Para verificar se o <\/span>XML-RPC<\/b> está sendo executado em seu site, você pode checar através de uma ferramenta chamada <\/span>XML-RPC Validator<\/b><\/a>. Execute seu site por meio da ferramenta e, se você receber uma mensagem de erro, isso significa que você não tem o XML-RPC ativado.<\/span><\/p>

Se você receber uma mensagem de “sucesso”, indicando que o <\/span>XML-RPC <\/b>está sendo executado dentro do seu site, você poderá interromper o <\/span>xmlrpc.php<\/b> com uma das duas abordagens abaixo.<\/span><\/p>

Método 1: Desativando xmlrpc.php com plugins<\/b><\/h2>

Essa maneira de desativar o <\/span>xmlrpc.php<\/b> é muito simples e fácil. <\/span>Basta entrar no painel de controle do seu site WordPress e ir até a seção <\/span>Plugins<\/b> › <\/span>Adicionar novo<\/b>. Procure pelo plugin <\/span>Disable XML-RPC<\/b> e instale-o.<\/span><\/p>

\n
\"Plugin<\/figure><\/div>

Ative o plug-in e está tudo pronto. Este plugin vai inserir automaticamente o código necessário para desativar o <\/span>XML-RPC<\/b>. No entanto, lembre-se de que alguns plugins existentes podem utilizar partes do <\/span>XML-RPC<\/b>, portanto, desabilitá-lo completamente pode fazer com que um conflito de plug-in ou certos elementos do site não funcionem mais.<\/span><\/p>

Se você deseja desativar determinados elementos do <\/span>XML-RPC<\/b>, mas ainda permitir que certos plugins e recursos funcionem, use os seguintes plugins:<\/span><\/p>