Objetivo: Explicar a vulnerabilidade do XML-RPC e fornecer métodos para desativá-lo, protegendo contra ataques de força bruta e DDoS.
O Que é XML-RPC?
XML-RPC é um recurso antigo do WordPress que permite a comunicação remota, possibilitando a postagem ou gerenciamento do seu blog a partir de dispositivos móveis ou de outros softwares.
O Risco de Segurança
O arquivo xmlrpc.php é um alvo comum para ataques de força bruta ou ataques de negação de serviço distribuído (DDoS), pois permite que atacantes tentem milhares de combinações de login por meio de um único comando XML.
Passo a Passo: Desativando XML-RPC
Método 1: Via Arquivo .htaccess (Recomendado)
-
Acesse o Gerenciador de Arquivos no cPanel e edite o arquivo
.htaccess(localizado empublic_html). -
Adicione o seguinte código no final do arquivo:
Apache# BLOQUEAR XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> -
Salve o arquivo. Isso irá bloquear todas as requisições externas para o
xmlrpc.php.
Método 2: Via Plugin
-
Instale e ative um plugin de segurança (ex: Disable XML-RPC ou Wordfence).
-
O plugin oferecerá uma opção de ativar/desativar o XML-RPC com um clique.
Observação: Se você usa o aplicativo móvel oficial do WordPress para gerenciar seu site, não desative o XML-RPC, pois ele é necessário para a funcionalidade do app.
