Como bloquear e desativar o arquivo xmlrpc.php do WordPress e Drupal

O que é e para que serve o arquivo xmlrpc.php?

O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do próprio WordPress.

Ultimamente tem aumentado o número de ataques ao arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress e Drupal.

No entanto, estimá-se que apenas 15% dos usuários do WordPress fazem uso efetivo deste recurso, de modo que, o outro montante deixa o arquivo exposto para ataques.

O principal ataque provido pelo arquivo xmlrpc.php é o DDOS Ataque de negação de serviço que quando executado em grandes proporções podem tornar seu site totalmente indisponível, indisponibilizando também o servidor que hospeda seu site, pois gera uma quantidade de requisições de acessos que podem não ser suportadas pelo servidor.

Posso apagar e remover o xmlrpc.php do meu WordPress?

Sim, isso não irá causar danos ao seu WordPress, mas, na próxima atualização do WP o arquivo xmlrpc.php será criado novamente, portanto, esta não é uma boa alternativa.

Podemos fazer o bloqueio de forma mais eficiente usando plugins ou editando o arquivo .htaccess.

Como proteger meu blog e bloquear acessos ao arquivo xmlrpc.php?

Para saber se o seu xmlrpc está exposto basta acessar o endereço do seu site seguido de /xmlrpc.php, o resultado será parecido com este;

XML-RPC server accepts POST requests only.

Nós podemos bloquear via edição do arquivo .htaccess

Bloqueando o xmlrpc.php editando o arquivo .htaccess

A vantagem de usar o o arquivo .htaccess é que você não fica dependendo das atualizações dos plugins.

Acesse a sua conta FTP ou Gerenciador de Arquivos pelo cPanel

Localize o arquivo .htaccess localizado dentro da pasta public_html

Faça o download do arquivo, ou, se o seu software de FTP suportar, faça a edição on-line acrescentando as seguintes linhas no final do arquivo:

# Bloquear acesso ao arquivo xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Pronto, agora é só testar.

  • 1 Users Found This Useful
Was this answer helpful?

Related Articles

Como ativar ou desativar o Mod Security no cPanel?

Seu IP é frequentemente bloqueado quando você acessa uma área de administração do WordPress ou...

Como alterar o URL Admin do WordPress

A plataforma WordPress possui a URL(/wp-admin) de acesso padrão para o seu painel administrativo,...