Come e perché disabilitare xmlrpc.php di WordPress

In cosa consiste XML-RPC e perché può rappresentare un rischio per la sicurezza del tuo sito WordPress?

XML-RPC è un file che consente la trasmissione di dati da un dispositivo all’altro, cosa che dovrebbe essere un vantaggio per la comunicazione tra i vari elementi del sito.

Tuttavia, gli hacker possono sfruttarne le vulnerabilità per accedere al tuo sito e ai suoi dati, aggirando anche i comuni strumenti di difesa che si utilizzano in caso di attacchi brute force.

Esiste la possibilità di proteggere il tuo sito disattivando XML-RPC seguendo alcuni semplici passaggi.

Ti spieghiamo come fare per tutelare la sicurezza dei tuoi dati e proteggere il tuo sito WordPress a meno che non siano necessarie alcune delle sue funzioni per la pubblicazione remota e il plugin Jetpack.

Di seguito trovi due metodi per disabilitare xmlrpc.php:

Disattivare xmlrpc.php con plugin WordPress

Metodo semplicissimo! È sufficiente installare il plugin Disable XML-RPC. Una volta installato, attivalo e non serve altro.

Questo plugin inserirà automaticamente il codice necessario per disattivare XML-RPC.

Se invece vuoi disattivare solo alcuni elementi di XML-RPC perché alcuni tuoi plugin utilizzano questa funzione allora puoi installare il plugin Stop XML-RPC Attack.

Questa estensione impedirà gli attacchi attraverso XML-RPC ma consentirà l’accesso agli strumenti e ai plugin automatici come Jetpack al file xmlrpc.php.

Disattivare xmlrpc.php manualmente

Apri il file .htaccess tramite il FileManager presente all’interno del pannello di controllo HVCP ed incolla il seguente codice:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Dove l’IP 123.123.123.123 di esempio rappresenta quello a cui vuoi rendere raggiungibile il file xmlrpc.php.

Articoli correlati