XML-RPC è una procedura di chiamata remota che nel progetto WordPress ha avuto una vita travagliata.
Inizialmente disabilitata di default, successivamente è stata abilitata di default e dall'interfaccia di gestione amministrativa di WordPress è stata financo eliminata la possibilità di disabilitarla.
Tuttavia:
- è raramente utile
Sono pochi i siti WordPress ad utilizzarla, ed esistono alternative più sicure - rappresenta sicuramente una vulnerabilità da non sottovalutare
Quindi, la scelta preferibile è sicuramente quella di disabilitare XML-RPC dal proprio WordPress.
La disabilitazione può avvenire o utilizzando uno degli appositi plugin di sicurezza (che, solitamente, tra le prime operazioni che compiono per "mettere in sicurezza" un'installazione, vi è proprio la disabilitazione di XML-RPC), oppure intervenendo sul file .htaccess, nel quale vanno inserite le seguenti righe:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 111.111.111.111 </Files>
NOTA: questa soluzione ha anche il vantaggio di permettere eventualmente l'utilizzo di XML-RPC, se necessario, ma limitandolo solo a chiamate provenienti da un determinato IP (nell'esempio sopra, 111.111.111.111)