Cos’è xmlrpc.php su WordPress e cosa devi sapere per la sicurezza del sito?

Postato in data 27 Dicembre 2021 da Riccardo Esposito

Avrai sentito parlare di XMLRPC WordPress e di possibili problemi di sicurezza. In realtà questo è un argomento abbastanza noto ai webmaster, meno a chi muove i primi passi nel mondo del blogging. Ma è sempre utile affrontare temi come quello del xmlrpc.php WordPress.

XMLRPC WordPress

Perché ti consentono di scoprire come lavora questo CMS e in che modo puoi ottimizzare anche aspetti che permettono di migliorare la sicurezza di WordPress. Cosa sapere su questo aspetto tecnico? Ecco qualche dettaglio in più per conoscere XMLRPC WordPress.

Cos’è XMLRPC: definizione semplice

Prima che nascesse WordPress esisteva XMLRPC. Vale a dire una specifica per consentire la comunicazione tra due sistemi. Si trovava nella piattaforma di blogging b2 che è un ramo (o meglio, una fork) da cui è nato WordPress che ha ereditato questo sistema basato su Remote Procedure Call, uno standard per mettere in comunicazione due sistemi prima ancora che si diffondessero le API.

A cosa serveXMLRPC WordPress

XMLRPC WordPress viene ereditato da b2 e si trova nella cartella principale. Fino alla versione 3.5 è disabilitato. All’inizio serviva a mettere in comunicazione l’app mobile con quella standard.

In questo modo potevi attivare il filexmlrpc.php WordPress e avere una versione mobile aggiornata con quella desktop. In realtà questa funzione serve anche a far comunicare più piattaforme di blogging con i pingback. Ovvero dei sistemi di notifica per citazioni.

Oggi è una funzione obsoleta che non ha motivo di esistere anche se alcuni aspetti potrebbero mettere in allarme i webmaster e chi si occupa della sicurezza del sito web WordPress.

Quali sono le potenziali minacce?

Mantenere attivo il xmlrpc.php WordPress vuol dire esporre il proprio sito web a una serie di rischi. Ad esempio il sito web potrebbe essere interessato da un attacco brute force per accedere provando diverse combinazioni di login. Il punto debole: il loginXML-RPC.

Le richieste che avvengono tramite XMLRPC si muovono con username e password, quindi gli attacchi brute force possono bypassare il classico login del pannello di controllo, sul quale possono trovare dei limiti di tentativi login, e accedere indisturbati attraverso questo sistema.

Altro attacco tipico riguarda proprio una delle funzioni principali: i pingback. Ogni elemento viene registrato nel database come record ed è chiaro che una normale attività non danneggia minimamente le performance del sito web. Se però vieni interessato da un attacco DDos – Distributed Denial of Service – viaXMLRPC su WordPress ricevi una quantità infinita di richieste.

Sia nel caso dell’attacco brute force, sia per quello del DDos, l’obiettivo può essere differente. In alcuni casi i malintenzionati si limitano a dare fastidio o a pubblicare commenti spam.

In altri, invece, mirano a devastare la tua presenza online. Se hai un hosting di qualità alle spalle puoi arginare questo problema, lo stesso vale se hai montato un buon plugin con firewall e altri parametri per tutelare la sicurezza di WordPress. Ma spesso non basta. Meglio prevenire.

Come disabilitare xmlrpc.php

Devi capire se sul tuo sito web è ancora attiva questa funzione. Puoi farlo con questo tool webdogs.com/xml-rpc-validator. Poi procedi con una possibile soluzione del problema.

Come disabilitare xmlrpc.php
Risultato negativo della verificaper disabilitare xmlrpc.php.

Come disabilitare XMLRPC WordPress? La soluzione tecnica è quella che prevede di aggiungere un comando via FTP sul file .htaccess. Di cosa stiamo parlando esattamente?

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Questa è una possibile soluzione per risolvere tutti i problemi senza utilizzare plugin o estensioni superflue. Oppure puoi aggiungere a functions.php questa stringa.

add_filter( 'xmlrpc_enabled', '__return_false' );

Non sei a tuo agio con questi passaggi tecnici? Può capitare, ecco perché c’è l’alternativa: puoi usare un plugin che consente di disabilitare la funzione in questione. Ti lascio due alternative: un’estensione dedicata alla singola attività e una suite di sicurezza completa.

  • Disable XML-RPC
  • Wordfence Security

Nel primo caso hai un plugin dedicato solo alla possibilità di disattivare XMLRPC WordPress. Nel secondo puoi sfruttare diversi strumenti per aumentare al sicurezza del blog o del sito web. Tra questi anche l’opzione per eliminare ogni traccia di questa vecchia eredità.

Per approfondire: come inserire i meta tag in un sito WordPress

Perché questa funzione rimane?

Ok, abbiamo visto che può essere pericoloso mantenere attiva questa specifica del CMS. Ma perché è stata mantenuta? Se il lavoro di comunicazione tra due sistemi oggi viene svolto da meccanismi più sicuri e sofisticati, perché mantenere attivo questo sistema fallace?

Semplice, è un sistema di base che potrebbe sempre essere utile: fa parte di quelle tecnologie vecchie ma affidabili. Tu hai già operato in questa direzione? Hai disabilitato il tutto?

Clicca per votare questo articolo!
[Voti totali: 0 Media: 0]

Discussione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.