9 Aprile 2021

Disabilitare xmlrpc php di WordPress

Disabilitare xmlrpc php di WordPress

A cosa serve il file xmlrpc.php in WordPress? Questo file è stato inserito per sfruttare delle funzioni di PHP tramite file XML. Utilizzato negli anni, per usare WordPress nella rete locale anche offline.

Oggi questa funzionalità è molto meno usata, ma ancora plugin e applicazioni potrebbero averne bisogno, come ad esempio l'applicazione per smartphone ufficiale e le funzioni di Trackback e Pingback sui post. Se sei come la maggior parte degli utenti e non la utilizzi, questa funzionalità potrebbe rivelarsi una "porta" d'accesso al tuo sito ad attacchi di brute force.

WordPress già da molto tempo utilizza le API per interagire con il Core, sta continuando a migliorare e sviluppare le integrazioni con questo nuovo approccio. Dalla versione 3.5 di WordPress la funzione è abilitata per impostazione predefinita, ma non c'è più l'opzione per disabilitarla. Probabilmente questa funzione verrà completamente rimossa nelle future versioni del CMS.

Come disabilitare le funzioni xmlrpc.php da WordPress

La richiesta di collegamento con questo metodo non prevede meccanismi di sicurezza oltre ai soliti "usename e password". Come già detto, questa funzionalità può essere disabilitata manualmente.

Per procedere in modalità manuale ci occorre poter accedere ai file del sito web in modalità FTP. Nella root principale (dove sono presenti anche le cartelle di WordPress) e aprire il file .htaccess modificandolo con un semplice editor di testo. (Prima di procedere è consigliato salvarne una copia dell'originale).

Disabilita xmlrpc.php modificando il file .htaccess

Incolla il codice seguente per disabilitare XML-RPC per tutti gli indirizzi IP, esempio:

# Bloccare il file xmlrpc.php di WordPress per tutti gli IP tranne 1.1.1.1
<Files xmlrpc.php>
order deny,allow
 deny from all
 allow from 1.1.1.1
</Files>

Se vi occorre potete inserire il vostro indirizzo IP al posto di "1.1.1.1", così da abilitare le richieste ad un solo indirizzo specifico.

Disabilita xmlrpc.php tramite un Plugin

Se non vuoi modificare il file .htaccess o non vuoi rischiare di sbagliare, puoi utilizzare un semplice Plug-in disponibile gratuitamente nel repository di WordPress. Questo è quello più utilizzato: Disable XML-RPC-API

Altri articoli interessanti