In cosa consiste XML-RPC e perché può rappresentare un rischio per la sicurezza del tuo sito WordPress?
XML-RPC è un file che consente la trasmissione di dati da un dispositivo all’altro, cosa che dovrebbe essere un vantaggio per la comunicazione tra i vari elementi del sito.
Tuttavia, gli hacker possono sfruttarne le vulnerabilità per accedere al tuo sito e ai suoi dati, aggirando anche i comuni strumenti di difesa che si utilizzano in caso di attacchi brute force.
Esiste la possibilità di proteggere il tuo sito disattivando XML-RPC seguendo alcuni semplici passaggi.
Ti spieghiamo come fare per tutelare la sicurezza dei tuoi dati e proteggere il tuo sito WordPress a meno che non siano necessarie alcune delle sue funzioni per la pubblicazione remota e il plugin Jetpack.
Di seguito trovi due metodi per disabilitare xmlrpc.php:
Disattivare xmlrpc.php con plugin WordPress
Metodo semplicissimo! È sufficiente installare il plugin Disable XML-RPC. Una volta installato, attivalo e non serve altro.
Questo plugin inserirà automaticamente il codice necessario per disattivare XML-RPC.
Se invece vuoi disattivare solo alcuni elementi di XML-RPC perché alcuni tuoi plugin utilizzano questa funzione allora puoi installare il plugin Stop XML-RPC Attack.
Questa estensione impedirà gli attacchi attraverso XML-RPC ma consentirà l’accesso agli strumenti e ai plugin automatici come Jetpack al file xmlrpc.php.
Disattivare xmlrpc.php manualmente
Apri il file .htaccess tramite il FileManager presente all’interno del pannello di controllo HVCP ed incolla il seguente codice:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
Dove l’IP 123.123.123.123 di esempio rappresenta quello a cui vuoi rendere raggiungibile il file xmlrpc.php.
