Che cos’è il file wp_xlmrpc.php che troviamo dentro ad ogni installazione di WordPress e come poterlo disabilitare in modo definitivo?
Ultimamente mi è capitato di ricevere un massiccio attacco su wordpress di brute force (ovvero una serie di tentativi di login al fine di entrare nell’amministrazione del mio sito) e tutti i link puntavano ad un solo file, ovvero il wp_xlmrpc.php.
A quel punto mi sono chiesto:
A cosa serve questo file? Se non è utile posso disabilitarlo?
La risposta è sì ed ora ti mostro come.
Cos’è il file XLMRPC?
Il file wp_xlmrpc.php in WordPress è un file che implementa il protocollo XML-RPC per permettere a software e servizi esterni di interagire con il sito WordPress, quindi di pubblicare o rimuovere articoli, creare utenti e così via.
Questo file consente di eseguire operazioni da remoto sul sito senza accedere direttamente al pannello di amministrazione.
Come ho già detto, il questo file è stato spesso oggetto di attacchi, soprattutto per via del suo supporto a metodi come “multicall”, che permette di inviare più comandi in una singola richiesta, potenzialmente usato per attacchi brute force.
Ecco un esempio di log, nella penultima colonna puoi notare che hanno provato ad accedere tramite wp_xmlrpc.php, poiché è la richiesta interrogata:
Come disabilitare il file wp_xlmrpc.php
Puoi utilizzare principalmente due vie per impedire l’accesso ai bot o comunque ad esterni non autorizzati:
- Tramite plugin
- Tramite file .htaccess
Utilizzare un plugin wordpress dedicato
Uno dei plugin più utilizzati per bloccare completamente l’accesso al file XML-RPC è Disable XML-RPC, poiché il suo scopo principale è disattivare il protocollo XML-RPC senza la necessità di apportare modifiche manuali ai file del sito.
Una volta installato e attivato, il plugin disabilita automaticamente qualsiasi richiesta che arriva a wp_xlmrpc.php, prevenendo accessi esterni al tuo sito.
Bloccare l’accesso da .htaccess
Se preferisci un approccio manuale o non vuoi utilizzare plugin, puoi bloccare l’accesso al file xmlrpc.php modificando il file .htaccess.
Questa soluzione è molto efficiente perché blocca le richieste prima che raggiungano WordPress, riducendo così il carico sul server.
Mi raccomando, attua modifiche al file .htaccess solo sei hai già confidenza con questa tipologia di file e solo se sai realmente cosa stai facendo, poiché è un file cruciale per il funzionamento del portale e anche solo una virgola fuori posto potrebbe compromettere l’intero portale.
Questa è la procedura:
- Accedi al tuo server: Utilizza un client FTP o il pannello di gestione del tuo hosting (es. cPanel) per accedere ai file del tuo sito.
- Trova il file .htaccess: Il file .htaccess si trova solitamente nella directory principale di WordPress, dove sono presenti anche i file wp-config.php e index.php.
- Modifica il file: Aggiungi le seguenti regole al file .htaccess per bloccare l’accesso a wp_xlmrpc.php:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Lascia un commento