WordPress Disable XMLRPC: guida completa (tramite codice o plug-in)

Gennaio 9, 2023 KCCSB 0 commenti

Cerchi un plugin XMLRPC per disabilitare WordPress? O forse vuoi disabilitare XMLRPC manualmente tramite uno snippet di codice breve? Non cercare oltre perché in questo articolo ti mostreremo come disabilitare XMLRPC utilizzando entrambi i metodi.

Ma prima di approfondire i passaggi per entrambi i metodi, cercheremo di rispondere ad alcune domande di base a cui probabilmente stai pensando, come:

Quanto è grande una minaccia alla sicurezza XMLRPC?
Perché esiste in primo luogo?
Disabilitare XMLRPC è sufficiente?

Stai tranquillo, risponderemo a tutte le tue domande scottanti. Ora, cominciamo. Ecco cosa tratteremo:

📚 Sommario:

Quando non disabilitare XMLRPC?

XMLRPC è stato sviluppato per consentire a WordPress di comunicare con altri sistemi. Ad esempio, l’utilizzo dell’applicazione WordPress sul tuo dispositivo mobile richiede XMLRPC.

In questi giorni, non hai davvero bisogno di XMLRPC a causa dell’API REST che ora trasferisce i dati tra WordPress e altri sistemi.

Detto questo, XMLRPC è ancora incluso in un’installazione di WordPress a causa di retrocompatibilità. Sappiamo tutti che mantenere aggiornato il tuo sito web è estremamente importante, ma ci sono casi in cui i proprietari di siti web decidono di trattenere gli aggiornamenti. E se il loro sito è in esecuzione su una versione precedente all’API REST, è meglio mantenere abilitato il file XMLRPC.

Tuttavia, come forse già saprai, il più grande svantaggio di mantenere abilitato il file XMLRPC è che è noto per introdurre vulnerabilità a un sito Web WordPress. Pertanto, ti consigliamo vivamente di installare un plug-in di sicurezza WordPress sul tuo sito per tenere a bada gli hacker.

Potresti voler mantenere il file PHP (es. XMLRPC.php) quando lo stai usando un’applicazione che non può accedere all’API REST ma può accedere a XMLRPC. In questo caso particolare, XMLRPC è solo una soluzione temporanea e ti consigliamo vivamente di trovare un’applicazione compatibile con l’API REST.

Ora che sai quando non disabilitare XMLRPC, diamo un’occhiata a tutti i validi motivi per cui dovresti disabilitare il file PHP:

Il motivo comune per disabilitare il file XMLRPC è che rende il tuo sito Web vulnerabile agli attacchi di hacking, come DDoS e attacchi di forza bruta. Il file PHP tende anche a consumare molte risorse del tuo server, rendendo il tuo sito web molto lento.

È noto che alcuni plug-in, come Jetpack, presentano problemi con XMLRPC.

Errore XMLRPC del jetpack — Jetpack ha problemi con XML-RPC

Quindi, se desideri disabilitare il file XMLRPC, procedi nel seguente modo.

Come disabilitare XMLRPC

Esistono due modi per disabilitare il file XMLRPC. Puoi farlo utilizzando un plug-in o manualmente. Copriamo entrambi i metodi di seguito. Immergiamoci…

Importante – Prima di procedere oltre, fai un backup dell’intero sito web. Per seguire questo tutorial, devi installare un plugin o modificare i tuoi file WordPress. È noto che i siti Web si interrompono quando viene installato un nuovo plug-in e la modifica dei file è un’attività rischiosa. I backup sono una rete di sicurezza su cui puoi ripiegare in circostanze sfortunate. Quindi, assicurati di eseguire un backup prima di procedere.

WordPress disabilita XMLRPC con un plugin

Ci sono molti plugin che disabiliteranno XMLRPC sul tuo sito web WordPress. In questo tutorial, useremo quello più popolare: Disattiva XML-RPC. Se non puoi usarlo, puoi provare una delle seguenti alternative:

Suggerimento professionale: Hai un plugin di sicurezza installato sul tuo sito web? Quindi chiedi se puoi disabilitare XMLRPC usando quel plugin di sicurezza. Ad esempio, iThemes può disabilitare XMLRPC con il clic di un pulsante.

Ora, disabilitiamo XMLRPC utilizzando il plug-in Disable XML-RPC.

Scarica e installa il Disattiva XML-RPC plug-in sul tuo sito Web WordPress. E questo è tutto. Il plugin disabiliterà automaticamente il file PHP senza che tu debba alzare un dito.

L’utilizzo dei plug-in è un ottimo modo per risolvere i problemi su un sito Web WordPress, ma l’installazione di plug-in presenta uno svantaggio. Consuma molte risorse del tuo server. Ecco perché la modalità manuale potrebbe essere preferibile a molti proprietari di siti web.

WordPress disabilita XMLRPC manualmente

Esistono tre modi per disabilitare manualmente XMLRPC. Puoi farlo utilizzando un filtro o modificando i file di configurazione .htaccess o Ngnix. Proviamoli tutti.

Disabilita utilizzando il file .htaccess

Per modificare il file .htaccess, dovrai aprire il tuo account di hosting, vai a cPanel → File Manager → public_html → .htaccess. Basta fare clic con il tasto destro e selezionare Modificare sul file .htaccess. Successivamente, inserisci il seguente codice alla fine del file:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Non dimenticare di premere Salva prima di chiudere la finestra o la scheda.

modificare il file htaccess — Modifica del file .htacess per disabilitare XMLRPC

Nota a margine: Se non hai mai avuto a che fare con il back-end del tuo sito Web WordPress, modificare il file .htacess sarà un compito arduo. Ti consigliamo di saperne di più sulle funzioni e l’importanza del file e quindi provare vari metodi per modificare il file .htaccess.

Disabilita utilizzando il file di configurazione Ngnix

Prima di mostrarti i passaggi, ecco un disclaimer. Questo particolare metodo è efficace solo se il tuo sito web è ospitato su un server Nginx.

Non sei sicuro che il tuo sito web sia ospitato su Nginx? Ecco come puoi scoprirlo:

1. Fai clic con il pulsante destro del mouse in un punto qualsiasi del tuo sito Web, quindi seleziona Ispezionare.

2. Vai a Rete e ti verrà chiesto di ricaricare il sito web. Quindi, seleziona Tutti.

opzione di rete del browser google chrome — Fiding l’opzione di rete sul tuo Google Chrome

3. Viene visualizzato un elenco di dati in una sezione denominata Nome. Clic su uno qualsiasi dei dati e sul pannello laterale, vai a intestazione e scorrere verso il basso. Dovresti vedere il nome del tuo server.

opzione intestazioni del browser google chrome - wordpress disabilita xmlrpc — Identificare il server su cui è ospitato il tuo sito Web utilizzando Google Chrome

Se il tuo sito è ospitato su Ngnix, procedi al passaggio successivo.

Apri il file di configurazione di Nginx e inserisci il seguente codice nel file:

location ~* ^/xmlrpc.php$ {
return 403;
}

Dopo aver salvato le impostazioni, se apri il file XMLRPC dal frontend del tuo sito web, genererà un errore 403. Guarda tu stesso. Aggiungi semplicemente /xmprpc.php ( alla fine del tuo sito web e premi invio.

Disattiva utilizzando un filtro

Puoi disabilitare il file XMLRPC scrivendo un plugin e quindi aggiungendo il seguente filtro al plugin e assicurandoti che il plugin sia installato e attivato sul tuo sito web.

add_filter( 'xmlrpc_enabled', '__return_false' );

Come puoi capire, questa particolare opzione è l’ideale per gli sviluppatori. Per le persone con capacità tecniche ordinarie, suggeriamo le opzioni del file config o .htaccess.

Niente ha funzionato?

Se hai provato i passaggi che abbiamo mostrato in questo articolo ma non sei riuscito a ottenere i risultati desiderati, parlane con il tuo provider di hosting. Dovrebbero essere in grado di dirti cosa non va e come disabilitare XMLRPC sul tuo sito Web WordPress.

Conclusione

La disabilitazione di XMLRPC assicurerà che il tuo sito Web sia protetto da determinati tipi di attacchi di hacking, come DDoS e attacchi di forza bruta. Ma ci sono molti altri modi per invadere il tuo sito Web, quindi ti consigliamo di seguire la nostra guida sulla sicurezza di WordPress per garantire una protezione completa del tuo sito WordPress.