{"id":6793,"date":"2018-06-18T06:48:05","date_gmt":"2018-06-18T06:48:05","guid":{"rendered":"https:\/\/blog.hostinger.io\/co-tutoriales\/?p=6793"},"modified":"2023-02-13T22:33:25","modified_gmt":"2023-02-13T21:33:25","slug":"que-es-xmlrpc-php-wordpress-por-que-desactivarlo","status":"publish","type":"post","link":"\/co\/tutoriales\/que-es-xmlrpc-php-wordpress-por-que-desactivarlo","title":{"rendered":"\u00bfQu\u00e9 es xmlrpc.php en WordPress y por qu\u00e9 deber\u00edas desactivarlo?"},"content":{"rendered":"

WordPress siempre ha tenido características integradas que te permiten interactuar remotamente con tu sitio. Acéptalo, hay veces en que necesitas acceder a tu sitio web y tu computadora no está cerca. <\/p>

Durante mucho tiempo, la solución era un archivo llamado xmlrpc.php<\/strong>. Pero en los últimos años, el archivo se ha convertido más en un daño que en una solución.<\/p>

A continuación profundizaremos en qué es xmlrpc.php y por qué fue creado. También haremos un repaso de los problemas de seguridad comunes que causa y cómo arreglarlos en tu propio sitio de WordPress<\/a>.<\/p>

Descarga la hoja de trucos de WordPress definitiva<\/a><\/p>

¿Qué es Xmlrpc.php?<\/h2>

XML-RPC es una característica de WordPress<\/a> que permite que los datos se transmitan, con HTTP actuando como el mecanismo de transporte y XML como el mecanismo de codificación. Dado que WordPress no es un sistema encerrado en sí mismo y ocasionalmente necesita comunicarse con otros sistemas, la intención era realizar ese trabajo.<\/p>

Por ejemplo, supongamos que quisieras publicar en tu sitio desde tu dispositivo móvil ya que tu computadora no está cerca. Podrías usar la función de acceso remoto habilitada por xmlrpc.php para hacerlo.<\/p>

Las funciones principales de xmlrpc.php eran permitirte conectarte a tu sitio a través de un teléfono móvil, implementar trackbacks y pingbacks desde otros sitios, y algunas funciones asociadas con el plugin Jetpack.<\/p>

¿Por qué se creó Xmlrpc.php y para qué se usaba?<\/h2>

La implementación de XML-RPC se remonta a los primeros días de WordPress incluso antes de que se convirtiera en WordPress.<\/p>

En los inicios de Internet, cuando las conexiones eran increíblemente lentas, el proceso de escritura y publicación en la web era mucho más difícil y requería más tiempo. En lugar de escribir dentro del navegador, la mayoría de la gente escribiría sin conexión, luego copiaría y pegaría su contenido en la web. Aún así, este proceso estaba lejos de ser ideal.<\/p>

La solución (en ese momento) fue crear un cliente de blogs fuera de línea (offline) donde pudieras redactar tu contenido y luego conectarte a tu blog para publicarlo. Esta conexión se hizo a través de XML-RPC. Con el marco básico de XML-RPC en su lugar, las primeras aplicaciones utilizaban esta misma conexión para permitirle a las personas iniciar sesión en sus sitios de WordPress desde otros dispositivos.<\/p>

XML-RPC en la actualidad<\/h3>

En el 2008, con la versión 2.6 de WordPress, había una opción para habilitar o deshabilitar XML-RPC. Sin embargo, con el lanzamiento de la aplicación para iPhone de WordPress, la compatibilidad con XML-RPC se habilitó por defecto, y no había ninguna opción para desactivar esta configuración. Y esto se ha mantenido así al día de hoy.<\/p>

Sin embargo, la funcionalidad de este archivo ha disminuido considerablemente con el tiempo, y el tamaño general del archivo ha disminuido de 83kb a 3kb, por lo que no desempeña un papel tan importante como el que solía tener.<\/p>

El futuro de XML-RPC<\/h3>

Con la nueva API de WordPress, podemos esperar que XML-RPC se elimine por completo. Hoy en día, esta nueva API todavía está en la fase de prueba y solo se puede habilitar mediante el uso de un plugin.<\/p>

Sin embargo, puedes esperar que la API se codifique directamente en el núcleo de WordPress en el futuro, lo que eliminaría por completo la necesidad de tener el archivo xmlrpc.php.<\/p>

La nueva API no es perfecta, pero proporciona una solución más robusta y segura al problema que xmlrpc.php intentaba solucionar.<\/p>

Por qué deberías deshabilitar Xmlrpc.php<\/h2>

Los mayores problemas con XML-RPC están relacionados con la seguridad. Los problemas no tienen que ver directamente con XML-RPC, sino con cómo el archivo se puede usar para permitir un ataque de fuerza bruta a tu sitio.<\/p>

Claro, puedes protegerte con contraseñas increíblemente fuertes y con plugins de seguridad de WordPress<\/a>. Pero, la mejor manera de protección es simplemente deshabilitarlo.<\/p>

Hay dos debilidades principales en XML-RPC que se han explotado en el pasado.<\/p>

La primera es usar ataques de fuerza bruta para obtener acceso a tu sitio. Un atacante intentará acceder a tu sitio usando xmlrpc.php mediante varias combinaciones de nombre de usuario y contraseña. Pueden incluso usar un solo comando para probar cientos de contraseñas diferentes. Esto les permite eludir las herramientas de seguridad que normalmente detectan y bloquean los ataques de fuerza bruta.<\/p>

La segunda era desactivar sitios a través de un ataque DDoS. Los hackers utilizaban la función pingback en WordPress para enviar pingbacks a miles de sitios de forma instantánea. Esta característica en xmlrpc.php brinda a los hackers un suministro casi interminable de direcciones IP para distribuir un ataque DDoS.<\/p>

Para verificar si XML-RPC está activo en tu sitio, puedes ejecutarlo a través de una herramienta llamada XML-RPC Validator<\/a>. Ejecuta tu sitio a través de la herramienta, y si recibes un mensaje de error, significa que no tienes habilitado XML-RPC.<\/p>

Si recibes un mensaje de éxito, puedes detener xmlrpc.php con uno de los dos métodos siguientes.<\/p>

Método 1: Deshabilitar Xmlrpc.php con plugins<\/h2>

Deshabilitar XML-RPC en tu sitio de WordPress no podría ser más fácil.<\/p>

Simplemente ve a la sección Plugins > Añadir nuevo<\/strong> desde tu escritorio de WordPress. Busca Disable XML-RPC <\/strong>e instala el plugin que se ve como el de la imagen siguiente:<\/p>

\n
\"instalar<\/figure><\/div>

Activa el plugin y listo. Este plugin insertará automáticamente el código necesario para desactivar XML-RPC.<\/p>

Sin embargo, ten en cuenta que algunos plugins existentes pueden utilizar partes de XML-RPC, por lo que deshabilitarlo por completo podría causar un conflicto de plugins o que ciertos elementos de tu sitio dejen de funcionar.<\/p>

Si quieres desactivar determinados elementos de XML-RPC, pero aún así permitir que funcionen ciertos plugins y características, utiliza los siguientes plugins:<\/p>