XML-RPC è una procedura di chiamata remota tramite la quale WordPress permette di pubblicare utilizzando client come Windows Live Writer.

E' una procedura attiva di default su ogni installazione WordPress, ma ci sono tre fattori da tenere in considerazione:
  1. raramente è usata effettivamente
    Utilizzate Windows Live Writer per aggiornare il vostro blog WordPress? No? E allora, perché lasciare attiva questa funzione, se è inutile?

  2. esistono delle ottime alternative

  3. in passato è stata utilizzata per degli attacchi brute-force
    Anche se il codice nel frattempo è stato migliorato e le probabilità di successo di un attacco brute-force attraverso XML-RPC si sono grandemente ridotte, rimane comunque un bersaglio privilegiato; il che significa che, se un BOT prende di mira il vostro blog, può effettuare anche decine di migliaia di chiamate XML-RPC cercando i violarlo.
    Anche se infruttuose, queste chiamate consumeranno risorse (RAM, CPU), ed il vostro servizio ne risentirà.
Ciò premesso, la soluzione migliore è la disabilitazione totale da WordPress del servizio XML-RPC, ed il modo più efficace di farlo è tramite il file .htaccess


Come disabilitare XML-RPC in WordPress attraverso .htaccess

Per disabilitare XML-RPC in WordPress, è sufficiente aggiungere al file .htaccess le seguenti righe:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from123.123.123.123
</Files>

Note:
  • utilizzando opportunamente la funzione "allow", possiamo fare in modo che le chiamate siano possibili solo da determinati IP
  • la modifica non è irreversibile: rimuovendo le righe di cui sopra, XML-RPC tornerà attivo

 

 

Found this article interesting?
Subscribe to DomainRegister´s newsletter!

You can unsubscribe at any time by simply clicking the link in the footer of our emails. For information about our privacy practices, please visit our website.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp s privacy practices here.

  • WordPress, security
  • 2 Users Found This Useful
Was this answer helpful?

Related Articles

 How To Automatically Make Clickable URL in WordPress

If you need to put a URL in our WordPress content and make this content clickable, the default...

 Tiered backup storage model

For backup purposes there're several different tiers of available storage; the difference between...

 Windows Vulnerability - WannaCry (15/05/2017 Security Alert)

WannaCry ransomware attacks windows based machines. It also goes by the name WannaCrypt,...

 Come spostare WordPress in una directory differente

Talvolta può esser necessario dover spostare WordPress in una directory differente rispetto a...

 How to Check Which WordPress Version is installed

If you have access to the site, the best way to check which version of WordPress is installed is...