O que é e para que serve o arquivo xmlrpc.php?
O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do próprio WordPress.
Ultimamente tem aumentado o número de ataques ao arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress e Drupal.
No entanto, estimá-se que apenas 15% dos usuários do WordPress fazem uso efetivo deste recurso, de modo que, o outro montante deixa o arquivo exposto para ataques.
O principal ataque provido pelo arquivo xmlrpc.php é o DDOS Ataque de negação de serviço que quando executado em grandes proporções podem tornar seu site totalmente indisponível, indisponibilizando também o servidor que hospeda seu site, pois gera uma quantidade de requisições de acessos que podem não ser suportadas pelo servidor.
Posso apagar e remover o xmlrpc.php do meu WordPress?
Sim, isso não irá causar danos ao seu WordPress, mas, na próxima atualização do WP o arquivo xmlrpc.php será criado novamente, portanto, esta não é uma boa alternativa.
Podemos fazer o bloqueio de forma mais eficiente usando plugins ou editando o arquivo .htaccess.
Como proteger meu blog e bloquear acessos ao arquivo xmlrpc.php?
Para saber se o seu xmlrpc está exposto basta acessar o endereço do seu site seguido de /xmlrpc.php, o resultado será parecido com este;
XML-RPC server accepts POST requests only.
Nós podemos bloquear via edição do arquivo .htaccess
Bloqueando o xmlrpc.php editando o arquivo .htaccess
A vantagem de usar o o arquivo .htaccess é que você não fica dependendo das atualizações dos plugins.
Acesse a sua conta FTP ou Gerenciador de Arquivos pelo cPanel
Localize o arquivo .htaccess localizado dentro da pasta public_html
Faça o download do arquivo, ou, se o seu software de FTP suportar, faça a edição on-line acrescentando as seguintes linhas no final do arquivo:
# Bloquear acesso ao arquivo xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>Pronto, agora é só testar.
