Como bloquear e desativar o arquivo xmlrpc.php do WordPress e Drupal.

O que é e para que serve o arquivo xmlrpc.php?

O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do próprio WordPress.

Ultimamente têm aumentado o número de ataques ao arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress e Drupal.

No entanto, estimá-se que apenas 15% dos usuários do WordPress fazem uso efetivo deste recurso, de modo que, o outro montante deixa o arquivo exposto para ataques.

O principal ataque provido pelo arquivo xmlrpc.php é o DDOS – Ataque de negação de serviço que quando executado em grandes proporções podem tornar seu site totalmente indisponível, indisponibilizando também o servidor que hospeda seu site, pois gera uma quantidade de requisições de acessos que podem não ser suportadas pelo servidor.

 

Posso apagar e remover o xmlrpc.php do meu WordPress?

Sim, isso não irá causar danos ao seu WordPress, mas, na próxima atualização do WP o arquivo xmlrpc.php será criado novamente, portanto, esta não é uma boa alternativa.

Podemos fazer o bloqueio de forma mais eficiente usando plugins ou editando o arquivo .htaccess.

 

Como proteger meu blog e bloquear acessos ao arquivo xmlrpc.php?

Para saber se o seu xmlrpc está exposto basta acessar o endereço do seu site seguido de /xmlrpc.php, o resultado será parecido com este;

Como bloquear o arquivo xmlrpc.php

Nós podemos bloquear de duas formas diferentes, via plugin, ou via edição do arquivo .htaccess

 

Bloqueando o xmlrpc.php usando plugin

Tivemos que testar vários plugins para encontrar um que realmente desativasse o arquivo xmlrpc.php por completo.

  1. Faça o login na área administrativa do seu WordPress.
  2. No menu esquerdo lateral, localize o menu Plugins > Adicionar Novo
  3. Utilize o campo de busca na parte superior da página e localize o plugin Disable XML-RPC do editor LittleBizzy.  Tome cuidado nesta etapa, pois existem vários plugins com o mesmo nome.Plugin para desabilitar e bloquear o arquivo xmlrpc.php
  4. Clique em Instalar Agora e após alguns segundos, clique em Ativar
  5. Prontinho, agora é só tentar acessar o arquivo xmlrpc.php novamente, o resultado será este; Como desativar, bloquear o arquivo xmlrpc.php

Bloqueando o xmlrpc.php editando o arquivo .htaccess

A vantagem de usar o o arquivo .htaccess é que você não fica dependendo das atualizações dos plugins.

    1. Acesse a sua conta FTP
    2. Localize o arquivo .htaccess localizado dentro da pasta public_html
    3. Faça o download do arquivo, ou, se o seu software de FTP suportar, faça a edição on-line acrescentando as seguintes linhas no final do arquivo:
      # Bloquear acesso ao arquivo xmlrpc.php
      <Files xmlrpc.php>
      order deny,allow
      deny from all
      </Files>
      
    4. Prontinho, agora é só testar.

 

Deixe seu comentário