Disabilitare il file XMLRPC di WordPress

Mai trascurare il fattore sicurezza in campo informatico e web. Ogni minima falla può diventare una porta di accesso per hacker e malware sempre pronti a danneggiare irrimediabilmente il lavoro altrui.

È risaputo che i siti creati con il CMS WordPress sono tra le loro prede preferite per diversi motivi:

• Semplicità nel recuperare e studiare il codice di programmazione del CMS;
• Scarsa attenzione da parte degli utenti per la protezione del sito;
• Problemi e bug noti;

In questo articolo continuiamo la serie sulla sicurezza di WordPress, più precisamente su come disabilitare il file xmlrpc.php per bloccare tentativi di accesso esterni o attacchi di brute force.

Leggi anche altre guide su come aumentare la sicurezza di un sito creato con WordPress.

Cos’è il file xmlrpc.php?

Senza entrare troppo nei dettagli: xmlrpc.php è un file presente di default con l’installazione di WordPress (più precisamente nella root principale). Il file scritto in linguaggio PHP ha il compito di gestire le comunicazioni RPC di applicazioni esterne e il loro accesso al sito web.

Perché disattivarlo?

Come abbiamo detto, il file xmlrpc fornisce una via di accesso ad applicazioni esterne al sito come una sorta di login. Questo lo rende vittima di attacchi di brute force con il tentativo di scoprire i dati di accesso al sito.

Un po’ come avviene con il file wp-login.php,scopri qui come bloccare tentativi di accesso inderiderati al sito.

Non tutti gli utenti sfruttano le sue funzionalità, quindi nella maggior parte dei casi è possibile disattivarlo senza problemi.

Come bloccarlo?

Per bloccare o disabilitare l’accesso a questo file, possiamo procedere in più modi:

Plugin WordPress

Esistono decine di plugin per aumentare la sicurezza di WordPress e molti hanno la possibilità di disabilitare o oscurare il file xml-rpc in modo da non renderlo più visibile o totalmente inaccessibile dall’esterno.

Posso consigliare SiteGuard, utile plugin che permette di migliorare la protezione del sito sotto molti aspetti, tra cui il file in questione.

.htaccess

Altro metodo per rendere inaccessibile il file XMLRPC è attraverso un istruzione nel file .htaccess: basterà scrivere il seguente codice al suo interno e salvare il documento.

<files xmlrpc.php>
order deny,allow
deny from all
</files>

N.B. Fai sempre un backup del file .htaccess prima di ogni modifica

Per verificare che il file sia stato effettivamente disabilitato, basterà digitare nella barra di ricerca di un browser il seguente indirizzo:

www.nomesito.com/xmlrpc.php

Oppure nel caso il sito sia installato nella sottocartella /wordpress:

www.nomesito.com/wordpress/xmlrpc.php

Per altri consigli ed aggiornamenti su WordPress iscriviti alla nostra Newsletter e seguici su Facebook

Leggi anche: Come disattivare la modalità manutenzione WordPress

Articoli Recenti

• Recensione Storm Front di Jim Butcher
• Upgrade Scheda Rete. Sostituzione della Realtek RTL8822CE
• Da jQuery a JavaScript Puro: Sfruttare il Potenziale Nativo del Web
• Come Risolvere i Problemi di Connessione Bluetooth al PC
• Guida alla Cybersecurity: Come proteggerti da minacce informatiche