O que é RPC
Antes de tudo, vamos começar entendendo o que é RPC. A Chamada de Procedimento Remoto ou RPC, permite gerenciar processos de uma máquina de forma remota, como se estivesse operando localmente.
O que faz o xmlrpc.php?
Para simplificar, a função desse arquivo é permitir a comunicação do site/blog com a API do WordPress.
Outra função seria permitir os usuários do WordPress fazer uma conexão do seu smartphone e publicar a partir dele.
Um outro uso desse arquivo é feito por alguns plugins, que fazem referencias aos posts (através de pingbacks e trackbacks). Um plugin de exemplo bastante conhecido seria o JetPack.
Por que desativar xmlrpc.php?
Como você já sabe o que é o xmlrpc.php e para que ele é usado, vamos saber o porque desativar esse arquivo no seu WordPress.
O maior motivo para desativar seria a segurança do seu CMS.
Mas qual a relação da segurança do seu WordPress com esse arquivo? Nós explicamos:
O motivo não está ligado diretamente ao arquivo, mas sim como ele pode ser utilizado para explorar vulnerabilidades do seu WordPress, ou seja, ele pode ser utilizado para fazer um ataque ao seu WordPress.
Quais tipos de ataques podem ser feitos?
Existem dois métodos principais.
1 – Ataque Brute Force:
Nesse método de ataque os invasores usam o arquivo para tentar descobrir senhas do seu WordPress (principalmente a senha de acesso ao WordPress).
Esse tipo de ataque Brute Force consiste basicamente em testar milhares de senhas até descobrir a sua, é um método de tentativa e erro, mas que pode dar certo.
2 – DDoS por Pingback:
Ele é o que mais causa problema aos usuários de WordPress, sendo o ataque mais comum.
DDoS é a sigla para Distribuited Denial of Service, conhecido como Ataque de negação de serviço.
O invasor faz o ataque explorando uma vulnerabilidade do XML-RPC enviando acessos simultâneos e ininterruptos de vários computadores.
Isso faz com que o seu servidor não suporte toda a demanda ficando sobrecarregado, e o servidor acaba ficando fora do ar.
Como se proteger?
Existem algumas maneiras para aumentar a segurança.
Você pode usar nomes de usuários e senhas do WordPress bem difíceis e fortes, usando números, letras maiúsculas, minúsculas e caracteres. Porem ainda assim o seu recurso XML-RPC estará ativo.
No entanto é recomendado que você desative o recurso, caso não faça uso dele.
Um bom servidor também é uma maneira de se proteger, pois ele nativamente estará preparado para impedir ataques ao seus blogs em WordPress. Conheça um pouco mais sobre o nosso serviço de Servidor Cloud.
Como desativar o recurso xmlrpc.php?
Você pode fazer isso via .htacceess.
Para acessar o arquivo abra o seu FTP, navegue até o seu diretório root (normalmente nomeado de public_html).
Abra a pasta onde o seu WordPress foi instalado (costuma ser uma pasta com o nome do próprio site), localize e abra o arquivo .htaccess e então no fim do documento acrescente o seguinte código:
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
Caso queira permitir o acesso apenas de um IP especifico use assim:
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
Allow from 123.321.123.321
</Files>
Em Allow from coloque o endereço IP que você deseja permitir o acesso.
Plugins para desativar o xmlrpc.php no WordPress
Outra opção é desativar através de plugins gratuitos do WordPress.
Um deles é o Disable XML-RPC, é gratuito e muito simples de usar, basta baixar e ativar no seu WordPress. Esse plugin está em constante atualização, então é seguro usar nas versões atuais do WordPress.
O plugin desativa completamente todas as funções relacionadas ao XML-RPC no WordPress, incluindo pingbacks e trackbacks, e ajuda a evitar ataques ao arquivo.