En MancillaTech, nos especializamos en la seguridad de sitios web en WordPress, y uno de los problemas más comunes que detectamos es el uso de XML-RPC, una función que, aunque en su momento fue útil, hoy representa un serio riesgo de seguridad para los sitios que la mantienen activa.
En este artículo, explicaremos qué es XML-RPC en WordPress, su función original, cómo los hackers lo utilizan para ataques y los mejores métodos para deshabilitarlo y proteger tu sitio web.
¿Qué es XML-RPC y cuál es su función en WordPress?
XML-RPC (Remote Procedure Call using XML) es una tecnología que permite que aplicaciones externas interactúen con WordPress de forma remota. Fue implementado para permitir la publicación de contenido desde dispositivos móviles y para conectar con herramientas de automatización.
Breve historia de XML-RPC en WordPress
En sus inicios, WordPress no contaba con una API REST avanzada, por lo que XML-RPC era la solución para conectar con aplicaciones externas. Sin embargo, desde la introducción de la REST API de WordPress, XML-RPC ha quedado obsoleto y su permanencia en los sitios web solo representa un riesgo de seguridad.
¿Cómo los hackers utilizan XML-RPC para ataques?
Aunque XML-RPC fue diseñado con buenas intenciones, hoy es uno de los puntos más vulnerables en WordPress. Los ciberdelincuentes lo utilizan para realizar ataques como:
1. Ataques de fuerza bruta
Los hackers utilizan XML-RPC para realizar intentos masivos de inicio de sesión probando diferentes combinaciones de usuario y contraseña. Lo peligroso es que XML-RPC permite enviar múltiples intentos de autenticación en una sola solicitud, lo que facilita este tipo de ataque.
2. Ataques de amplificación DDoS
Con XML-RPC, los atacantes pueden enviar miles de solicitudes en un corto periodo de tiempo, saturando el servidor y dejando fuera de servicio el sitio web. Este tipo de ataque es común y puede afectar el rendimiento del sitio sin previo aviso.
3. Inyección de código malicioso
Algunas vulnerabilidades en XML-RPC pueden permitir a los atacantes inyectar código en la base de datos o ejecutar comandos no autorizados, comprometiendo archivos y bases de datos.
En MancillaTech, hemos detectado que muchos ataques a sitios web con XML-RPC activo podrían haberse evitado simplemente desactivando esta función innecesaria.
Métodos para deshabilitar XML-RPC en WordPress y proteger el sitio
Desactivar XML-RPC en WordPress es una acción recomendada para mejorar la seguridad de tu sitio. Te presentamos los métodos más efectivos:
1. Deshabilitar XML-RPC con un plugin
Si no quieres modificar archivos manualmente, puedes usar plugins de seguridad que bloquean XML-RPC fácilmente:
- Disable XML-RPC: Un plugin ligero y directo para desactivar XML-RPC.
- Wordfence Security: Además de ofrecer protección contra malware, permite bloquear solicitudes XML-RPC.
- iThemes Security: Ofrece opciones avanzadas de bloqueo de XML-RPC y otros ataques.
2. Desactivar XML-RPC mediante .htaccess
Si prefieres un método más técnico, puedes deshabilitar XML-RPC a través del archivo .htaccess:
- Accede a los archivos de tu sitio mediante FTP o el administrador de archivos del hosting.
- Abre el archivo
.htaccess(ubicado en la raíz del sitio web). - Añade el siguiente código al final del archivo:
# Bloquear acceso a XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> - Guarda los cambios y verifica que XML-RPC esté deshabilitado.
3. Bloquear XML-RPC con un firewall de seguridad
En MancillaTech, implementamos firewalls avanzados que bloquean las solicitudes maliciosas a XML-RPC sin afectar otras funcionalidades del sitio. Algunos servicios de firewall recomendados son:
- Cloudflare (versión gratuita disponible).
- Sucuri Firewall (protección en tiempo real).
4. Eliminar funciones XML-RPC desde el archivo functions.php
Si quieres evitar el uso de plugins y necesitas una solución directa desde el código de tu tema, puedes agregar la siguiente línea al archivo functions.php:
add_filter('xmlrpc_enabled', '__return_false');
Esto evitará que XML-RPC sea accesible en tu sitio.
Conclusión
XML-RPC es una función obsoleta en WordPress que representa un serio riesgo de seguridad si permanece activa. En MancillaTech, recomendamos deshabilitar XML-RPC lo antes posible para prevenir ataques de fuerza bruta, amplificación DDoS e inyecciones de código malicioso.
Si no estás seguro de cómo desactivar XML-RPC o quieres un análisis de seguridad para tu sitio web, contáctanos. Visita nuestra web en Mancillatech.com o escríbenos a nuestro WhatsApp +57 318 611 4849 para recibir una auditoría de seguridad personalizada.
