Cómo Evitar Ataques al XMLRPC de WordPress

Categorias: Wordpress

Evirtar ataques xmlrpc.php en WordPress

La seguridad se está convirtiendo en algo muy importantes para todos los usuarios de Internet.

No dejamos de recibir noticias de ataques que comprometen las credenciales de seguridad de millones de usuarios de las compañías más importantes de Internet.

Ataques phishing a cuentas de Gmail o el espectacular aumento de ataques de fuerza bruta a las instalaciones de WordPress, también han sido noticia últimamente y no parece que esta tendencia vaya a cambiar próximamente.

Por eso es necesarios que, tanto en la vida personal, como en nuestros proyectos en Internet, se tomen las mayores precauciones en materia de seguridad.

Si tenemos una web con WordPress instalado, no debemos pensar que nuestro pequeño sitio web no puede ser el objetivo de un ataque, debemos de pensar justo lo contrario, que somos un objetivo y debemos protegernos para que no puedan causarnos ningún problema.

En los ataques de fuerza bruta en WordPress, son ataques en los que se prueban multitud de contraseñas al azar con la intención de adivinar la correcta, el sitio al que todos miramos es el wp-login. Y tiene su lógica, ya que es aquí donde tenemos que poner nuestro nombre de usuario y contraseña.

wp-login muestra WordPress

Pero este no es el único objetivo de este tipo de ataques en WordPress, según el blog de Wordfence, en una muestra de dos semanas comprobaron que los ataques de fuerza bruta son más elevados en el archivo XMLRPC.php

ataques a xmlrpc estudio wordfence
*Hosting rápido y de calidad, tenemos lo que necesitas. CLICK AQUÍ

¿Qué es el Archivo XMLRPC?

Si buscáis en vuestra instalación de WordPress, podéis encontrarlo entre el resto de archivos.

archivo xmlrpc.php wordpress

Si buscamos una definición técnica podemos recurrir a la Wikipedia:

XML-RPC es un protocolo de llamada a procedimiento remoto que usa XML para codificar los datos y HTTP como protocolo de transmisión de mensajes.1


En un lenguaje menos técnico podemos explicar que el archivo XMLRPC sirve para que una aplicación externa se pueda comunicar con nuestro WordPress.

El ejemplo más común quizás sean los pingbacks, el sistema para avisar a un blog que se está hablando de el en otro blog, y que conocen la mayoría de usuarios de WordPress.

También es muy usado por todos aquellos usuarios que usan una aplicación de escritorio para escribir sus entradas, como por ejemplo Word de Microsoft, o cualquier app móvil que tenga contacto con la administración de WordPress.

Cómo veis es una puerta de acceso, y cómo toda puerta, es especialmente vulnerable.


Cómo Proteger en Archivo XMLRPC

Este es un punto en el que el usuario debe decidir. Es posible anular/bloquear el archivo XMLRCP con sólo añadir un código en el archivo .htaccess:

<files xmlrpc.php>
Order Allow,Deny
Deny from all
</files>

Si haces click aquí te explicamos donde localizar el archivo .htaccess.

También podemos usar un plugin como Disable XML-RPC, con el que con sólo activarlo podemos bloquear el archivo sin necesidad de tocar .htaccess.

El problema es que ya no disfrutaremos de las opciones que nos ofrece este tipo de conexión. Incluso es posible que deje de funcionar alguna API o plugin que ya se esté usando si bloqueamos el acceso al archivo XMLRPC.

Otra opción algo menos radical, es usar un plugin cómo Manage XML-RPC, con el que podemos, ademas de bloquear el archivo XMLRPC, crear una lista blanca de IP’s que si que tengan acceso así como una lista negra.

Manage XML-RPC plugin WordPress

Esta puede ser una buena opción si conocemos las IP’s de las aplicaciones a las que queremos dar acceso.

También podemos usar las suites de seguridad para WordPress más avanzadas ya que todas protegen WordPress de cualquier ataque de fuerza bruta al archivo XMLRPC.

Estos plugins sólo bloquean una IP tras varios intentos erróneos, al igual que hacen con el archivo wp-login. Esta opción nos permite seguir usando el archivo XMLRPC.php añadiendo una capa de seguridad que evita los ataques de fuerza bruta.

Dos de los más populares y efectivos son:


[ninja-popup ID=13602] * Para connocer todos los secretos de WordPres  > CLICK AQUÍ[/ninja-popup] 


Hosting WordPress SSD.

En Hostinet trabajamos desde hace más de 15 años con servidores ubicados en España (Madrid).

Te garantizamos una IP española para tu Hosting WordPress SSD.

Podrás conseguir que tu página web se posicione mucho mejor en los principales buscadores.

¡Contrata ahora tu Hosting WordPress SSD y disfruta de su ultra-velocidad! ¡No te arrepentiás!

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!