Cómo desactivar el XML-RPC en WordPress (método seguro)

¿Quieres desactivar el XML-RPC en WordPress?

XML-RPC es una API central de WordPress que permite a los usuarios conectarse a su sitio web de WordPress mediante aplicaciones, herramientas y servicios de terceros

En este artículo, te mostraremos cómo desactivar fácilmente XML-RPC en WordPress

¿Qué es XML-RPC en WordPress?

XML-RPC es una de las principales API de WordPress que permite a las aplicaciones conectarse e interactuar con un sitio web de WordPress utilizando el protocolo XML y HTTPs

En resumen, es un sistema que te permite publicar en tu blog de WordPress utilizando clientes de weblog populares como las aplicaciones móviles de WordPress, Open Live Writer u otras aplicaciones de blogging remotas. También es necesario si quieres hacer conexiones con servicios como IFTTT.

Si quieres acceder a tu blog y publicarlo de forma remota, entonces necesitas habilitar XML-RPC.

La API XML-RPC es segura y está habilitada por defecto en todos los sitios web de WordPress. Sin embargo, algunos expertos en seguridad de WordPress pueden aconsejarte que la desactives

Desactivarla básicamente cerrará una puerta más que un potencial hacker puede intentar aprovechar para hackear tu sitio web

Dicho esto, veamos cómo desactivar fácilmente la API XML-RPC en WordPress

Método 1. Desactivar XML-RPC en WordPress mediante un plugin

Este método es más sencillo y se recomienda a todos los usuarios de WordPress

Todo lo que tienes que hacer es instalar y activar el Desactivar XML-RPC plugin. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

El plugin funciona de forma inmediata y no hay ajustes que debas configurar

La simple activación del plugin desactivará el XML-RPC en tu sitio web de WordPress

Método 2. Desactivar manualmente XML-RPC en WordPress

Este método requiere que añadas algo de código a tu sitio web de WordPress. Si no lo has hecho antes, echa un vistazo a nuestra guía sobre cómo copiar y pegar fragmentos de código personalizados en WordPress

Básicamente, el núcleo de WordPress proporciona un filtro para añadir manualmente a tu sitio web y desactivar la API XML-RPC

Simplemente añade el siguiente código a un plugin específico del sitio o utilizando un plugin de fragmentos de código personalizado

add_filter('xmlrpc_enabled', '__return_false');

Ahora puedes guardar tus cambios y WordPress desactivará la API XML-RPC

Método 3. Cómo desactivar el XML-RPC de WordPress con el .htaccess

Aunque la solución anterior es suficiente para muchos, todavía puede consumir muchos recursos para los sitios que están siendo atacados.

En esos casos, es posible que quieras desactivar todas las peticiones de xmlrpc.php desde el archivo .htaccess antes de que la petición pase a WordPress.

Simplemente pega el siguiente código en tu archivo .htaccess:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
</Files>

En la línea anterior hemos denegado el acceso al archivo XML-RPC a todo el mundo

Sin embargo, ¿qué pasa si necesitas dar acceso a una aplicación concreta, a ti mismo o a algún otro usuario? En ese caso, necesitarás saber la dirección IP que están utilizando

Después puedes sustituir el código anterior por el siguiente

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
allow from 123.123.123.123
</Files>

No olvides sustituir 123.123.123.123 por la dirección IP que quieras permitir

Prueba de la funcionalidad XML-RPC en WordPress

A continuación, puedes comprobar si has desactivado correctamente la funcionalidad XML-RPC en tu sitio web de WordPress

La forma más fácil de hacerlo es instalando la aplicación móvil de WordPress en tu teléfono. Está disponible tanto para dispositivos iPhone como Android

Después de instalar la aplicación, ábrela en tu teléfono y pulsa el botón de Introducir la dirección de tu sitio existente

En la siguiente pantalla, se te pedirá que proporciones la dirección de tu sitio web. Introduce la dirección de tu sitio web y pulsa el botón de continuar

Después, se te pedirá que introduzcas tus datos de acceso. Aquí tienes que proporcionar el mismo nombre de usuario y contraseña que utilizas para iniciar sesión en tu sitio web

Ahora deberías ver el mensaje de error de que los servicios XML-RPC están deshabilitados en este sitio

Esperamos que este artículo te haya ayudado a saber cómo desactivar fácilmente XML-RPC en WordPress. Quizás también quieras ver nuestra lista de cosas importantes que debes hacer después de instalar WordPress

Si te ha gustado este artículo, suscríbete a nuestro Canal de YouTube para los videotutoriales de WordPress. También puedes encontrarnos en Twitter y Facebook.