Como desativar XML-RPC no WordPress

Cum se dezactivează XML-RPC în WordPress
⏱️ 5 min read

WordPress XML-RPC é uma funcionalidade bem obsoleta incorporada ao CMS do WordPress. É um meio de padronizar as comunicações entre um site WordPress e outras tecnologias da web ou móveis. Se você é um usuário do WordPress, este tutorial explicará o que é XML-RPC e por que é uma boa ideia desativá-lo para se proteger.

Como Corrigir O Erro “Este Acess...
Como Corrigir O Erro “Este Acessório Pode Não Ser Compatível” No IPhone

Como funciona o XML-RPC

Seu site WordPress foi projetado para funcionar na web. Ele usa tecnologias básicas da web como HTML, CSS e PHP. Todos esses arquivos estão bem guardados em pastas dentro do servidor de hospedagem.

Quando um visitante clica em seu nome de domínio ou em qualquer um de seus derivados, ele acessa sua página da web. A pasta específica que contém as informações que eles desejam baixar em seu navegador. Agora o navegador interpreta essas informações e as mostra a eles.

Mas e se você não quiser acessar seu site usando um navegador? E se você quiser acessá-lo de um software de administração personalizado ou até mesmo de um aplicativo móvel?

O WordPress XML-RPC aborda esse problema.

XML-RPC é uma API que envolve as informações essenciais em um arquivo XML simples e o envia para o aplicativo móvel ou software remoto. O aplicativo móvel então aumenta essas informações com seu próprio design pré-configurado. O aplicativo móvel, neste caso, não precisa mais baixar arquivos substanciais de páginas da web, e você ainda pode acessar seus dados em um aplicativo bacana.

Por melhor que pareça, o único problema é que você terá que enviar seu nome de usuário e senha toda vez que quiser se autenticar via XML-RPC. Isso o torna muito vulnerável a ataques de hackers.

Como XML-RPC o torna vulnerável

XML-RPC deixa seu site vulnerável a ataques de pelo menos duas maneiras: ataques de força bruta e roubo de credenciais de login.

1. Ataques de força bruta

Os invasores tentam infectar seu site usando um ataque de força bruta.

what-is-xmlrpc-brute-force-attack

Um ataque de força bruta é apenas um jogo de adivinhação. O invasor tenta adivinhar sua senha repetidamente até obter sucesso.

Isso acontece vários milhares de vezes por segundo, então eles podem tentar milhões de combinações em um curto período.

Em um site WordPress, você pode limitar facilmente os ataques de força bruta limitando as tentativas de login em seu site. No entanto, o problema com XML-RPC é que ele não limita as tentativas de login em seu site.

Um invasor pode continuar adivinhando, enganando seu servidor, dizendo que é um administrador que está tentando recuperar algumas informações. E porque eles não têm as credenciais corretas, eles ainda não podem acessar seu site, então eles continuam tentando várias vezes sem fim.

Como não há limite para o número de tentativas, é apenas uma questão de tempo antes que eles tenham acesso. Dessa forma, um hacker também pode facilmente derrubar um site fazendo um ataque DDOS XML-RPC (enviando ondas de solicitações de “pingback” para XML-RPC para sobrecarregar e travar o servidor).

2. Interceptar / roubar informações de login

what-is-xmlrpc-login-interception

Outro ponto fraco do XML-RPC é o sistema de autenticação ineficiente. Sempre que enviar uma solicitação de acesso ao seu site, você também deverá enviar suas credenciais de login. Isso significa que seu nome de usuário e senha estão expostos.

Os hackers podem estar à espreita para interceptar esse pacote de informações. Uma vez bem-sucedidos, eles não precisam mais passar pelos rigores dos ataques de força bruta. Eles simplesmente entram em seu site usando suas credenciais válidas.

Devo desativar o XML-RPC no WordPress?

Desde a versão 3.5 do WordPress, houve tantas melhorias no código XML-RPC que a equipe do WordPress considerou seguro o suficiente para ser ativado por padrão. Se você depende de aplicativos móveis ou software remoto para gerenciar seu site WordPress, provavelmente não deve desabilitar XML-RPC.

Se você estiver bem ciente da segurança do seu servidor, pode ser melhor desativá-lo, pois ele cobre uma forma possível que os hackers podem usar para atacar o seu site.

Como desativar XML-RPC no WordPress

XML-RPC é habilitado por padrão no WordPress, mas existem várias maneiras de desabilitá-lo.

Nota: se você estiver usando o popular plugin JetPack, não poderá desativar o XML-RPC, pois ele é necessário para que o Jetpack se comunique com o servidor. Além disso, antes de desativar o XML-RPC, certifique-se de que nenhum de seus plug-ins ou temas o esteja usando.

Desativando XML-RPC

1. Localize a pasta do seu tema (geralmente em “wp-content / themes /”) e abra o arquivo “functions.php”.

2. Cole os seguintes comandos no final do arquivo:

Salve o arquivo “functions.php”. Isso desativará a funcionalidade XML-RPC no WordPress. Observe que este método apenas desativa XML-RPC, mas não impede que hackers ataquem seu site, já que o arquivo xml-rpc.php está disponível.

Bloqueando o acesso ao arquivo XML-RPC

A melhor maneira de evitar que hackers ataquem é bloquear o acesso ao arquivo xml-rpc.

Servidor apache

Se o seu site WordPress estiver sendo executado em um servidor Apache (se você vir um arquivo “.htaccess” na pasta de instalação do WordPress, pode ter certeza de que seu site está hospedado em um servidor Apache), siga estas etapas.

1. Faça o login no seu CPanel. Procure por Gerenciador de arquivos.

what-is-xmlrpc-cpanel-login

2. Abra o gerenciador de arquivos. Navegue até a pasta “public_html” e depois o documento “.htaccess”.

what-is-xmlrpc-htaccess

3. Clique com o botão direito para editar o arquivo.

what-is-xmlrpc-htaccess-edit

4. Na parte inferior do arquivo, cole o seguinte código:

what-is-xmlrpc-htaccess-edit-save-changes

5. Salve e saia.

Servidor Nginx

Para o servidor Nginx, cole o seguinte código no arquivo de configuração do servidor:

Agora seu site está protegido contra ataques.

Em conclusão

Ataques de força bruta e roubo de dados continuarão a representar problemas para os proprietários de sites. É seu dever garantir que seu site seja seguro. Desativar XML-RPC é uma maneira eficaz de fazer isso. Siga o guia acima e proteja seu site e visitantes de hackers agora.

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Você pode gostar...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x