O Que é e Como desabilitar XMLRPC no WordPress

Neste artigo, você vai entender melhor o que é o XMLRPC no WordPress, além de aprender como desabilitá-lo!

O WordPress é o CMS mais utilizado na internet. Um dos motivos de sua popularidade é a sua simplicidade e também a quantidade de recursos embutidos que ele possui. Além disso, o WordPress também traz consigo a possiblidade de incluir plugins que acrescentam funcionalidades que o tornam extremamente poderoso.

Uma grande preocupação do WordPress, desde o começo, era a incorporação de recursos que permitissem a comunicação com outros sistemas. Ou seja, recursos que permitissem a interação com seu site de forma remota, sem a necessidade de um computador, como por exemplo, através do seu smartphone.

Durante muito tempo, a solução encontrada era o XMLRPC, ou seja, o arquivo xmlrpc.php encontrado no núcleo do seu WordPress. Porém, o que antes era uma solução, hoje pode ser visto como um possível problema. Portanto, vamos entender melhor o que é o XMLRPC, seus problemas de segurança e como desativa-lo.

O que é o XMLRPC do WordPress?

XMLRPC ou XMLRPC é um protocolo de chamada de procedimento remoto (ou Remote Procedure Call – RPC) que utiliza XML para codificar suas chamadas e HTTP como um mecanismo de transporte.

O XMLRPC é utilizado no WordPress para permitir a transmissão de dados, utilizando do protocolo HTTP para o transporte e do XML para a codificação.

Dessa forma, é possível realizar diversas ações no seu site, sem a necessidade do acesso direto ao painel administrativo do WordPress. Por exemplo, se você tem um blog e deseja publicar um artigo utilizando seu smartphone, isso se torna possível graças ao XMLRPC.

Através do XMLRPC você consegue se conectar ao seu site através de diversos dispositivos. Dessa forma, você não precisa estar em um computador e acessar o painel administrativo toda vez que desejar publicar ou alterar algo.

O XMLRPC é um arquivo que já vem antes mesmo da existência do wordpress. Anteriormente ele era utilizado pelo software de blog b2, um antecessor do WordPress. Nas primeiras versões, o arquivo XMLRPC vinha desabilitado. Porém, com a crescente demanda e necessidade de se conectar a outros dispositivos, ele passou a vir habilitado por padrão desde a versão 3.5 do WordPress. Além disso, não é só o WordPress que faz o uso do XMLRPC, existem outros CMS que também utilizam ou já utilizaram esse arquivo, como o Drupal CMS.

Os Problemas de Segurança do XMLRPC

Agora que você já entendeu o que é o XMLRPC, deve estar se perguntando o por que deve desativa-lo. O motivo disso é por que o XMLRPC traz grandes problemas e preocupações para a segurança do seu WordPress. Por mais que você utilize senhas fortes, plugins de segurança, bloquei de ip e outras técnicas de proteção, o XMLRPC ainda é uma ferramenta que pode ser facilmente utilizada por Hackers Cibercriminosos para prejudicar seu site.

Existem duas formas comuns de ataques relacionados ao XMLRPC. A forma mais básica resulta na tentativa de acessar o seu site utilizando o XMLRPC, tentando várias combinações de usuários e senha, ou seja, através de ataques de força bruta. Apesar do WordPress possuir diversos plugins que evitam esse tipo de ataque de força bruta, eles acabam ignorando os acessos via XMLRPC. Portanto, cibercriminosos poderiam tentar invadir seu site ilimitadamente, sem serem detectados ou sofrerem bloqueios.

A segunda forma, não envolve a invasão direta do site, mas sim derrubar o seu site através de ataques de DDoS. Como o XMLRPC permite a transmissão de pingback no WordPress, cibercriminosos poderiam facilmente utilizar desse recurso para realizar ataques DDoS. Os ataques DDoS ou “Ataque de negação de serviço” gera uma quantidade de requisições muito grande a ponto de sobrecarregar seu site e seu servidor. Dessa forma, os ataques de DDoS podem tornar sue site totalmente indisponível, e podem vir até mesmo a indisponibilizar o seu servidor.

Devo desativar o XMLRPC?

Mesmo com a explicação acima, existem casos em que manter disponivel o acesso remoto ao WordPress seja indispensável. Então será que, mesmo nesses casos, deve-se desativar o XMLRPC? Vamos entender melhor essa situação.

Nas versões mais recentes, o WordPress passou a utilizar uma nova API, a WordPress REST API. Com isso, o XMLRPC passou a ser desnecessário. A WordPress REST API está se tornando a API padrão no WordPress, e com isso, muito provavelmente, o XMLRPC não virá mais junto ao WordPress nas versões futuras.

Portanto, o WordPress em suas versões mais atuais fornece uma solução mais robusta e segura para os problemas que o XMLRPC solucionavam, através da nova API. Então, não existe mais a necessidade de manter o XMLRPC ativo no seu site. O melhor a se fazer é desabilita-lo.

Mas, existem alguns casos de Pessoas ou Empresas que utilizam versões mais antigas do WordPress, e por algum motivo específico, não seja possível ou viável atualizar para versões mais recentes. Nesses casos em especial, vale pensar se realmente é necessário a utilização do XMLRPC. Caso não seja, desabilite-o. Caso seja necessário, recomendamos apenas que mantenha maior atenção a segurança, e que saiba desabilita-lo em caso de situações emergências. Se possível, mantenha-o desabilitado enquanto não for necessário, e só habilite-o quando precisar.

Como desabilitar o XMLRPC do WordPress?

Existem algumas formas de desabilitar o XMLRPC do seu WordPress. Aqui vamos listar duas opções, através de plugins e através do arquivo .htaccess.

Vale ressaltar que existem maneiras de desabilitar através da codificação de arquivos do núcleo do seu WordPress. Porém não recomendamos por se tratarem de arquivos que podem gerar sérios problemas dentro do seu WordPress.

Outra forma possível também é removendo o arquivo xmlrpc.php. Porém, por ser um arquivo do núcleo do wordpress, também não recomendamos.

Vamos então para as duas melhores e mais seguras formas de desabilitar o XMLRPC no WordPress.

Desabilitando o XMLRPC através de plugins

Uma das formas mais rápidas e simples para desabilitar o XMLRPC é através da instalação e ativação de plugins específicos para essa funcionalidade.

Portanto, acesse o painel administrativo do seu WordPress. Na barra lateral, vá até plugins e selecione a opção adicionar novo.

Adicionar Novo Plugin no WordPress

Na barra de busca, pesquise por “Disable XML-RPC”.

Barra de Pesquisa de Plugins do WordPress

Assim que a busca carregar, aparecerão diversas opções. Recomendamos o plugin “Disable XML-RPC-API” da Neatmarketing. Nos resultados da pesquisa, deve aparecer como na imagem abaixo. Basta então clicar no botão “instalar agora”.

Instalando o Plugin Disable XML-RCP-API para poder desabilitar o arquivo XMLRPC no WordPress

Agora basta clicar no botão ativar!

Ativar o Plugin Disable XML-RCP-API para poder desabilitar o arquivo XMLRPC

Pronto! Apenas fazendo isso, seu xmlrpc estará desabilitado! Não é necessário configurar nada. O plugin Disable XML-RPC-API executará tudo que é necessário para desativar o XMLRPC do seu WordPress.

Caso deseje habilita-lo por quaisquer motivo, basta desativar o plugin.

Com este plugin fica simples e prático ativar e desativar o XMLRPC sempre que você precisar e desejar!

Desabilitando manualmente pelo .htaccess

Se você tem um conhecimento um pouco mais avançado e conhece sobre servidores de hospedagem e sobre o arquivo .htaccess, então você pode optar por essa opção. Caso não tenha nenhum conhecimento a respeito, não recomendamos utilizar essa opção.

Uma forma simples de desabilitar o XMLRPC, é interrompendo todas as solicitações que ele recebe antes de chegarem ao WordPress. Para isso, vá até o diretório do seu servidor que está instalado o seu wordpress e busque pelo arquivo .htaccess. Dentro do seu arquivo .htaccess acrescente o código abaixo e depois salve-o:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

Lembre-se de fazer um cópia de backup do seu arquivo .htaccess antes de realizar esse processo.

Conclusão

Durante muito tempo, o XMLRPC foi uma ótima solução para o comunicação remota ao WordPress. Porém, acabou trazendo algumas falhas de seguranças. Por isso, hoje o XMLRPC é visto muito mais como um problema do que como uma solução.

Provavelmente, nas próximas versões do WordPress, com a nova a API Rest no WordPress, o XMLRPC deixe de vir no núcleo do WordPress.

A menos que você precise das funcionalidades do XMLRPC e não possa atualizar para a comunicação via REST API, o ideal é desativar o XMLRPC. Assim você garante uma maior segurança ao seu site!

Lembre-se que existem diversas formas de aumentar a segurança do seu site! Uma delas é a preocupação com um bom servidor de Hospedagem. A Homehost está sempre atualizando seus servidores e garantindo qualidade e segurança em seus serviços. Então não deixe de conhecer os nossos planos de hospedagem para colocar o seu site online hoje mesmo!

Este artigo foi útil?

Obrigado pela resposta!
Picture of Rafael Marques

Rafael Marques

Especialista em Desenvolvimento Web e Marketing. É apaixonado por tecnologia, empreendedorismo, audiovisual e animais. Em sua carreira, dedica-se ao empreendedorismo, além de atuar como Desenvolvedor Fullstack e redator técnico. Gosta de usar seu tempo livre para assistir a filmes, jogar, escrever, e passar um bom tempo brincando e mimando seus animais de estimação.

Contato: rafael.blog@homehost.com.br

Ganhe 30% OFF

Indique seu nome e e-mail,e ganhe um cupom de desconto de 30% para sempre na Homehost!