Seguridad Wordpress y el archivo xmlrpc.php

Sunday, September 18, 2011

El archivo xmlrpc.php es seguro conocido por todos aquellos propietarios de un Blog Wordpress. Bien, hoy trataré de explicar de que se encarga ya que no todos lo usamos y en el pasado ya causó algún que otro problema de seguridad.

¿Para que sirve el archivo xmlrpc.php?

Xmlrpc.php es el encargado de permitirnos postear remotamente a través de Microsoft Word, Textmate, Thunderbird, smartphones, entre otros clientes. Todo ello a través del protocolo XML-RPC.

Además será quien se encargue de recibir los pingbacks (enlaces de otros blogs hacía alguno de nuestros artículos) y enviar los trackbacks (enlaces de nuestro blog hacía artículos de otro blog).

¿Es un riesgo de seguridad tener el archivo xmlrpc.php?

Actualmente que yo sepa no, aunque se han dado casos que lograban saltarse la seguridad del xmlrpc.php en versiones Wordpress 2.1.3 o anteriores.

Consejos de seguridad para el archivo xmlrpc.php de tu Web

Creo que a día de hoy, no se conoce ninguna vulnerabilidad pública para el archivo xmlrpc.php, pero visto que en el pasado han existido es mejor tomar precauciones.

Si no lo usas, bórralo.
Para que tener archivos que no vamos a sacar provecho. Además con la rabia que da que se te cuelen por una funcionalidad que no usas. Lo mejor si no usas ningún cliente para postear en tu Wordpress, ni usas los pingbacks y trackbacks, borrarlo es la opción más acertada. En su defecto lo puedes renombrar.

Borrar de las cabeceras los enlaces a xmlrpc.php y wlwmanifest.xml
No es suficiente con borrar el archivo xmlrpc.php, también debemos borrar los enlaces que hacen referencia en el header de nuestra Web. Para ello deberemos añadir al archivo functions.php de nuestro theme la siguiente función:

function removeHeadLinks() {
	remove_action('wp_head', 'rsd_link');
	remove_action('wp_head', 'wlwmanifest_link');
}
add_action('init', 'removeHeadLinks');

Deshabilitar la funcionalidad XML-RPC de las opciones de Wordpress
Para ello en nuestro panel de administración, en Ajustes --> Escritura, quitar el check XML-RPC del apartado Publicación remota.

Con esto nuestro Wordpress será un poco más robusto pero como siempre toda medida es poca.