O que é Xmlrpc.php para WordPress e como desativá-lo
Xmlrpc.php é um ficheiro que vem incluído no WordPress, permitindo chamadas de procedimentos remotos através de HTTP. Permite várias funcionalidades, incluindo publicar conteúdos remotamente, fazer ping e utilizar aplicações móveis para gerir o seu sítio WordPress. Embora possa ser útil, o Xmlrpc.php também tem sido associado a vulnerabilidades de segurança e ataques de força bruta.
Para aqueles que utilizam o Alojamento WordPress, é essencial compreender o objetivo e os potenciais riscos de segurança do Xmlrpc.php. Muitos fornecedores de alojamento, incluindo a AlexHost, oferecem ferramentas de segurança e configurações específicas para o WordPress que podem ajudar a mitigar os riscos associados a este ficheiro. Alguns fornecedores até incluem opções para desativar o Xmlrpc.php diretamente a partir do painel de controlo do alojamento, tornando mais fácil para os utilizadores protegerem as suas instalações WordPress sem plugins adicionais.
1. Entendendo o Xmlrpc.php
O que o Xmlrpc.php faz?
- Publicação remota: O Xmlrpc.php permite que aplicações externas, como aplicações móveis, interajam com o seu site WordPress, permitindo que os utilizadores publiquem publicações e façam a gestão de conteúdos remotamente.
- Trackbacks e Pingbacks: Ele lida com pingbacks e trackbacks, permitindo que o seu site notifique outros sites quando você faz um link para eles e vice-versa.
- Aplicações de terceiros: Muitos serviços e plugins de terceiros utilizam o Xmlrpc.php para interagir com o WordPress.
2. Razões para desativar o Xmlrpc.php
Embora o Xmlrpc.php forneça vários recursos, ele também pode apresentar riscos de segurança:
- Ataques de força bruta: O Xmlrpc.php pode ser alvo de ataques de força bruta, em que os atacantes tentam adivinhar as suas credenciais de início de sessão utilizando scripts automatizados.
- Ataques DDoS: Os atacantes podem explorar o ficheiro para criar ataques DDoS (Distributed Denial of Service), sobrecarregando o seu servidor com pedidos.
- Acesso indesejado: Se não utilizar aplicações externas para gerir o seu sítio WordPress, manter o Xmlrpc.php ativado pode expor o seu sítio a riscos desnecessários.
3. Como desativar o Xmlrpc.php
Existem vários métodos para desativar o Xmlrpc.php no WordPress. Aqui estão as abordagens mais comuns:
Método 1: Usando um Plugin
Uma das maneiras mais fáceis de desativar o Xmlrpc.php é usando um plugin de segurança:
- Instalar um Plugin de Segurança: Opções populares incluem Wordfence, iThemes Security, ou Disable XML-RPC.
- Configurar o plug-in: Após a instalação, vá para as configurações do plug-in e procure a opção para desativar o Xmlrpc.php. Active a funcionalidade e guarde as suas alterações.
Método 2: Usando .htaccess
Se preferir não utilizar um plugin, pode desativar o Xmlrpc.php adicionando regras ao seu ficheiro .htaccess:
- Aceda ao seu site através de FTP ou Gestor de ficheiros: Utilize um cliente FTP ou o gestor de ficheiros no painel de controlo do seu alojamento.
- Localizar .htaccess: Localize o ficheiro .htaccess no diretório raiz da sua instalação do WordPress. Se não estiver visível, certifique-se de que o seu cliente FTP está definido para mostrar ficheiros ocultos.
- Editar o ficheiro .htaccess: Adicione as seguintes linhas no final do ficheiro:Ordem Negar,Permitir Negar de todos
- Salvar as alterações: Salve e feche o arquivo.
Método 3: usando o Functions.php
Outro método é desativar o Xmlrpc.php através do ficheiro functions.php do seu tema:
- Aceder ao Editor de Temas: No painel de administração do WordPress, vá a Aparência > Editor de Temas.
- Editar functions.php: Selecione o arquivo functions.php na lista à direita.
- Adicione o seguinte código:
add_filter('xmlrpc_enabled', '__return_false');
- Salvar as alterações: Clique no botão Atualizar arquivo para salvar suas alterações.
4. Conclusão
O Xmlrpc.php é um recurso poderoso do WordPress que permite o gerenciamento e a funcionalidade remotos. No entanto, se não utilizar estas funcionalidades ou se estiver preocupado com os riscos de segurança, desativar o Xmlrpc.php é uma decisão prudente. Ao seguir os métodos descritos neste guia, pode desativar eficazmente o Xmlrpc.php e aumentar a segurança do seu site WordPress. Monitorize sempre o seu site para detetar qualquer atividade suspeita e mantenha a sua instalação e plug-ins do WordPress actualizados para manter a segurança ideal.