E' una procedura attiva di default su ogni installazione WordPress, ma ci sono tre fattori da tenere in considerazione:
- raramente è usata effettivamente
Utilizzate Windows Live Writer per aggiornare il vostro blog WordPress? No? E allora, perché lasciare attiva questa funzione, se è inutile? - esistono delle ottime alternative
- in passato è stata utilizzata per degli attacchi brute-force
Anche se il codice nel frattempo è stato migliorato e le probabilità di successo di un attacco brute-force attraverso XML-RPC si sono grandemente ridotte, rimane comunque un bersaglio privilegiato; il che significa che, se un BOT prende di mira il vostro blog, può effettuare anche decine di migliaia di chiamate XML-RPC cercando i violarlo.
Anche se infruttuose, queste chiamate consumeranno risorse (RAM, CPU), ed il vostro servizio ne risentirà.
Come disabilitare XML-RPC in WordPress attraverso .htaccess
Per disabilitare XML-RPC in WordPress, è sufficiente aggiungere al file .htaccess le seguenti righe:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from123.123.123.123
</Files>
Note:
- utilizzando opportunamente la funzione "allow", possiamo fare in modo che le chiamate siano possibili solo da determinati IP
- la modifica non è irreversibile: rimuovendo le righe di cui sopra, XML-RPC tornerà attivo
