El archivo xmlrpc.php de WordPress es un objetivo habitual para hackers y bots automatizados. Aunque en algunos casos permite funcionalidades útiles, como la conexión con aplicaciones móviles o servicios como Jetpack, si no lo utilizas, lo más recomendable es bloquearlo. Esta medida contribuye a prevenir ataques de fuerza bruta, DDoS, spam y sobrecarga del servidor.
A continuación, se detallan los motivos para desactivar XML-RPC y las formas más seguras y sencillas de hacerlo.
¿Por qué deberías desactivar XML-RPC en WordPress?
- Ataques de fuerza bruta:
Los ciberdelincuentes pueden usar XML-RPC para lanzar miles de combinaciones de usuario y contraseña en poco tiempo, aprovechando las múltiples solicitudes simultáneas. - Ataques DDoS:
Envío masivo de peticiones a través de XML-RPC que sobrecargan el servidor y pueden hacer que tu web caiga. - Carga excesiva del servidor:
Cada petición innecesaria a este archivo consume recursos y puede ralentizar tu página. - Evitar spam y pingbacks falsos:
Algunos bots aprovechan XML-RPC para enviar comentarios de spam o generar notificaciones automáticas falsas.
Si no utilizas servicios que requieran XML-RPC, desactivarlo hará que tu web sea más segura y rápida.
Cómo comprobar si XML-RPC está activado
Solo tienes que acceder en tu navegador a:
https://tusitio.com/xmlrpc.php
- Si ves el mensaje «XML-RPC server accepts POST requests only», significa que está habilitado.
- Si aparece 404 Not Found o 403 Forbidden, ya está desactivado.
Métodos para desactivar XML-RPC en WordPress
1. Usando un plugin
Ideal para usuarios sin conocimientos técnicos.
- Ve a Plugins > Añadir nuevo en el panel de WordPress.
- Busca Disable XML-RPC o Disable XML-RPC-API.
- Instálalo y actívalo.
Plugins recomendados:
- Disable XML-RPC (ligero y automático)
- Wordfence Security (más completo, con firewall y análisis de malware)
- All In One WP Security (configuración avanzada)
2. Editando el archivo .htaccess
Un método manual, efectivo y sin depender de plugins.
- Accede a los archivos de tu web mediante FTP o el gestor de archivos del hosting.
- Edita el archivo
.htaccessque encontrarás en la raíz del sitio. - Añade al final el siguiente código:
<Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
- Guarda y cierra el archivo.
Ahora, al acceder a /xmlrpc.php, debería aparecer 403 Forbidden.
3. Modificando el archivo wp-config.php
Otra forma sencilla:
- Accede al archivo
wp-config.phpmediante FTP o desde el panel de tu hosting. - Añade esta línea al final del archivo:
add_filter( 'xmlrpc_enabled', '__return_false' );
- Guarda los cambios.
Este método desactiva XML-RPC a nivel interno de WordPress.
4. Usando un firewall con Cloudflare
Si usas Cloudflare, puedes bloquear el acceso a XML-RPC a nivel de red:
- Entra en tu cuenta de Cloudflare.
- Ve a Seguridad > WAF > Crear regla de firewall.
- Configura:
- Campo: URI
- Operador: contiene
- Valor:
xmlrpc.php - Acción: Bloquear
- Guarda y despliega la regla.
Así, las peticiones a XML-RPC nunca llegarán al servidor.
5. Seguridad avanzada con plugins como Wordfence o Sucuri
Además de bloquear XML-RPC, añaden múltiples capas de protección.
- Instala y activa Wordfence Security.
- Ve a Wordfence > Firewall.
- Activa la opción de bloquear peticiones a XML-RPC.
Cómo verificar que XML-RPC está desactivado
Vuelve a visitar:
https://tusitio.com/xmlrpc.php
- Si ves 403 Forbidden o 404 Not Found, ¡perfecto! XML-RPC está desactivado y tu web es ahora más segura.
Conclusión
Desactivar XML-RPC en WordPress es una acción sencilla que aporta grandes beneficios en seguridad, especialmente si no utilizas servicios que dependan de él. Ya sea a través de un plugin, modificando archivos o utilizando Cloudflare, esta medida protegerá tu web contra ataques automatizados y reducirá la carga del servidor.
Si quieres evitar problemas y mantener tu sitio protegido, no lo dudes: desactiva XML-RPC hoy mismo.
