El archivo xmlrpc.php de WordPress es un objetivo habitual para hackers y bots automatizados. Aunque en algunos casos permite funcionalidades útiles, como la conexión con aplicaciones móviles o servicios como Jetpack, si no lo utilizas, lo más recomendable es bloquearlo. Esta medida contribuye a prevenir ataques de fuerza bruta, DDoS, spam y sobrecarga del servidor.

A continuación, se detallan los motivos para desactivar XML-RPC y las formas más seguras y sencillas de hacerlo.

¿Por qué deberías desactivar XML-RPC en WordPress?

1. Ataques de fuerza bruta:
   Los ciberdelincuentes pueden usar XML-RPC para lanzar miles de combinaciones de usuario y contraseña en poco tiempo, aprovechando las múltiples solicitudes simultáneas.
2. Ataques DDoS:
   Envío masivo de peticiones a través de XML-RPC que sobrecargan el servidor y pueden hacer que tu web caiga.
3. Carga excesiva del servidor:
   Cada petición innecesaria a este archivo consume recursos y puede ralentizar tu página.
4. Evitar spam y pingbacks falsos:
   Algunos bots aprovechan XML-RPC para enviar comentarios de spam o generar notificaciones automáticas falsas.

Si no utilizas servicios que requieran XML-RPC, desactivarlo hará que tu web sea más segura y rápida.

Cómo comprobar si XML-RPC está activado

Solo tienes que acceder en tu navegador a:

https://tusitio.com/xmlrpc.php

• Si ves el mensaje «XML-RPC server accepts POST requests only», significa que está habilitado.
• Si aparece 404 Not Found o 403 Forbidden, ya está desactivado.

Métodos para desactivar XML-RPC en WordPress

1. Usando un plugin

Ideal para usuarios sin conocimientos técnicos.

• Ve a Plugins > Añadir nuevo en el panel de WordPress.
• Busca Disable XML-RPC o Disable XML-RPC-API.
• Instálalo y actívalo.

Plugins recomendados:

• Disable XML-RPC (ligero y automático)
• Wordfence Security (más completo, con firewall y análisis de malware)
• All In One WP Security (configuración avanzada)

2. Editando el archivo .htaccess

Un método manual, efectivo y sin depender de plugins.

• Accede a los archivos de tu web mediante FTP o el gestor de archivos del hosting.
• Edita el archivo .htaccess que encontrarás en la raíz del sitio.
• Añade al final el siguiente código:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

• Guarda y cierra el archivo.

Ahora, al acceder a /xmlrpc.php, debería aparecer 403 Forbidden.

3. Modificando el archivo wp-config.php

Otra forma sencilla:

• Accede al archivo wp-config.php mediante FTP o desde el panel de tu hosting.
• Añade esta línea al final del archivo:

add_filter( 'xmlrpc_enabled', '__return_false' );

• Guarda los cambios.

Este método desactiva XML-RPC a nivel interno de WordPress.

4. Usando un firewall con Cloudflare

Si usas Cloudflare, puedes bloquear el acceso a XML-RPC a nivel de red:

• Entra en tu cuenta de Cloudflare.
• Ve a Seguridad > WAF > Crear regla de firewall.
• Configura:
  • Campo: URI
  • Operador: contiene
  • Valor: xmlrpc.php
  • Acción: Bloquear
• Guarda y despliega la regla.

Así, las peticiones a XML-RPC nunca llegarán al servidor.

5. Seguridad avanzada con plugins como Wordfence o Sucuri

Además de bloquear XML-RPC, añaden múltiples capas de protección.

• Instala y activa Wordfence Security.
• Ve a Wordfence > Firewall.
• Activa la opción de bloquear peticiones a XML-RPC.

Cómo verificar que XML-RPC está desactivado

Vuelve a visitar:

https://tusitio.com/xmlrpc.php

• Si ves 403 Forbidden o 404 Not Found, ¡perfecto! XML-RPC está desactivado y tu web es ahora más segura.

Conclusión

Desactivar XML-RPC en WordPress es una acción sencilla que aporta grandes beneficios en seguridad, especialmente si no utilizas servicios que dependan de él. Ya sea a través de un plugin, modificando archivos o utilizando Cloudflare, esta medida protegerá tu web contra ataques automatizados y reducirá la carga del servidor.

Si quieres evitar problemas y mantener tu sitio protegido, no lo dudes: desactiva XML-RPC hoy mismo.