XML-RPC es un protocolo que permite la comunicación remota con WordPress. Sin embargo, es una de las puertas de entrada más usadas por atacantes para realizar ataques de fuerza bruta y amplificación DDoS.
Si no usas funciones como la publicación remota desde apps móviles o servicios externos, es recomendable desactivarlo.
🛠 Cómo desactivar XML-RPC en WordPress
1️⃣ Método con plugin (fácil)
Ve a Plugins > Añadir nuevo > Busca e instala "Disable XML-RPC-API"
Una vez instalado y activado estará funcionando.
Puedes revisarlo en las configuraciones del plugin siguiendo estos pasos (Deberán salirte en OFF las siguientes opciones):
2️⃣ Método manual con código (avanzado)
Si prefieres evitar plugins, agrega este código en el archivo .htaccess del directorio dónde está instalado el wordpress:
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
Desde el administrador de archivos de cPanel, edita el fichero ".htaccess". Si no lo puedes localizar, sigue esta guía para mostrar los ficheros ocultos:
🔎 ¿Cómo verificar si XML-RPC está desactivado?
Usa herramientas como https://iptools.net.au/xmlrpc-tester o intenta acceder a tusitio.com/xmlrpc.php, por ejemplo "https://guiasered.net/xmlrpc.php". Si ves un error 403 o 404, está correctamente desactivado.
Si XML-RPC está activado nos saldría lo siguiente:
Si XML-RPC está desactivado nos saldría lo siguiente::
✅ Conclusión
Desactivar XML-RPC en WordPress es una medida sencilla pero efectiva para prevenir ataques de fuerza bruta y mejorar la seguridad de tu sitio.