O que é xmlrpc.php no WordPress e por que você deve desativá-lo

Fala galera da programação, tudo beleza?
O assunto de hoje é segurança do seu blog / site WordPress.
Introdução
O WordPress sempre teve recursos integrados que permitem a interação remota com seu site, essencial quando você precisa acessar seu site sem ter um computador disponível. Durante muito tempo, essa solução era fornecida pelo arquivo xmlrpc.php. Desde os primórdios do WordPress, este arquivo permitia a comunicação com outros sistemas, mas nos últimos anos, ele se tornou mais problemático do que útil.
Neste artigo, vamos explicar o que é o xmlrpc.php, por que ele foi criado, os problemas de segurança que ele causa e como corrigi-los no seu site WordPress.
O que é xmlrpc.php?
O XML-RPC é um recurso do WordPress que permite a transmissão de dados, utilizando HTTP como mecanismo de transporte e XML como mecanismo de codificação. Como o WordPress frequentemente precisa se comunicar com outros sistemas, esse recurso foi desenvolvido para facilitar essa tarefa.
Por exemplo, se você quiser postar no seu site a partir do seu dispositivo móvel quando não tem acesso a um computador, você poderia usar o xmlrpc.php para fazer isso. Com ele habilitado, é possível se conectar ao seu site via smartphone, implementar trackbacks e pingbacks de outros sites e utilizar algumas funções do plugin Jetpack.
Por que foi criado e como foi usado?
A implementação do XML-RPC remonta aos primórdios do WordPress, antes mesmo de ele se chamar WordPress. No início da internet, quando as conexões eram lentas, o processo de escrever e publicar na web era demorado. Em vez de escrever diretamente no navegador, a maioria das pessoas escrevia offline e depois copiava e colava o conteúdo na web, o que não era ideal.
A solução na época foi criar um cliente de blog offline, que permitia compor conteúdo e depois conectá-lo ao blog para publicá-lo via XML-RPC. Com essa estrutura, os primeiros aplicativos permitiram o acesso remoto aos sites WordPress.
XML-RPC hoje
Em 2008, na versão 2.6 do WordPress, havia uma opção para ativar ou desativar o XML-RPC. No entanto, com o lançamento do aplicativo WordPress para iPhone, o suporte ao XML-RPC foi habilitado por padrão, sem opção de desativação. Isso permanece até hoje, embora a funcionalidade do arquivo tenha diminuído, e seu tamanho tenha reduzido de 83 kb para 3 kb.
XML-RPC no futuro
Com a nova API do WordPress, espera-se que o XML-RPC seja totalmente eliminado. Atualmente, essa API está em fase de teste e só pode ser ativada com um plugin, mas eventualmente será incorporada ao núcleo do WordPress, eliminando a necessidade do xmlrpc.php. A nova API oferece uma solução mais robusta e segura para os problemas que o xmlrpc.php tenta resolver.
Por que você deve desativar o xmlrpc.php
O maior problema do XML-RPC são as vulnerabilidades de segurança. Invasores podem usar o xmlrpc.php para tentar acessar seu site com várias combinações de nome de usuário e senha, ou para realizar ataques DDoS, utilizando o recurso de pingback para sobrecarregar seu servidor com requisições.
Para verificar se o XML-RPC está ativo em seu site, você pode usar uma ferramenta chamada XML-RPC Validator. Se a ferramenta indicar que o XML-RPC está ativado, você pode desativá-lo usando uma das abordagens abaixo:
Método 1: Desativando xmlrpc.php com plugins
A maneira mais fácil de desativar o xmlrpc.php é através de plugins. No painel de controle do seu site WordPress, vá até a seção Plugins › Adicionar novo, procure por “Disable XML-RPC” e instale-o.

Este plugin desativa automaticamente o XML-RPC. No entanto, alguns plugins podem depender do XML-RPC, então desativá-lo completamente pode causar conflitos.
Alternativamente, você pode usar plugins como “Stop XML-RPC Attack” e “Control XML-RPC Publishing” para desativar apenas os aspectos problemáticos do XML-RPC, permitindo que plugins como o Jetpack continuem a funcionar.
Método 2: Desativando xmlrpc.php manualmente
Se preferir desativar o xmlrpc.php manualmente, você pode fazer isso através do arquivo .htaccess. Adicione o seguinte código ao seu .htaccess para bloquear todas as requisições ao xmlrpc.php:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
Conclusão
O XML-RPC foi uma solução útil para a publicação remota em sites WordPress, mas com o tempo, surgiram vulnerabilidades que podem comprometer a segurança do seu site. Desativar o xmlrpc.php é uma medida prudente para proteger seu site, especialmente enquanto a nova API do WordPress não se torna padrão. Compartilhe suas experiências nos comentários: você já teve problemas de segurança devido ao xmlrpc.php? Como resolveu?
Fonte: https://www.hostinger.com.br/tutoriais/o-que-e-xmlrpc-php
Beleza pessoal? Espero que possa ajudar.
Um abraço e até o próximo post. Valeu!
#WordPress
#SegurançaDigital
#ProteçãoOnline
#Blogging
#GiovaniDaCruz