En los primeros días de WordPress, había funciones que le permitían interactuar con su sitio web de forma remota. Estas mismas características permitieron construir una comunidad al permitir el acceso de otros blogueros. tu blog. La principal herramienta utilizada para este propósito es “ XML-RPC ".

« XML-RPC ", O" XML llamada a procedimiento remoto Da gran poder a WordPress:

  • Conexión a su sitio con un teléfono inteligente
  • TrackBacks y Pingbacks activados tu blog
  • Uso avanzado de Jetpack

Pero hay un problema con el " XML-RPC ", que debes resolver para preservar la seguridad de tu blog de WordPress.

Cómo se usa XML-RPC en WordPress

Volvamos a los primeros días de blogs "(mucho antes de WordPress), la mayoría de los autores en Internet utilizan dial-up Navegar en la red. Fue difícil escribir artículos y enviarlos en línea. La solución fue escribir en su computadora sin conexión y " copiadora / coller Tu articulo Las personas que usaron este método lo encontraron particularmente difícil porque su texto a menudo tenía códigos extranjeros, incluso si el documento se guardaba en formato HTML.

Blogger ha creado una interfaz de programación de aplicaciones (API) para permitir que otros desarrolladores accedan a los blogs de Blogger. Fue suficiente especificar el nombre del sitio web, lo que permitió a los usuarios crear artículos sin conexión y luego conectarse a la API de Blogger a través de XML-RPC. Otros sistemas de blogs siguieron su ejemplo, y finalmente hubo una MetaWeblogAPI que estandarizó el acceso de forma predeterminada.

Después de diez años, la mayoría de nuestras aplicaciones están en nuestros teléfonos y tabletas. Una de las cosas que a las personas les gusta hacer con sus teléfonos es publicar en sus blog de WordPress. En 2008-09, Automattic se vio obligado a crear una aplicación de WordPress para casi todos los sistemas operativos móviles (mismo Blackberry y Windows Mobile).

Estas aplicaciones permitieron, a través de la interfaz XML-RPC, usar sus credenciales de WordPress.com para conectarse a un sitio de WordPress donde tiene ciertos derechos de acceso.

¿Por qué deberíamos olvidarnos de XML-RPC?

Compatibilidad con el XML-RPC Ha sido parte de WordPress desde el primer día. WordPress 2.6 fue lanzado el 15 de julio de 2008, y la activación del " XML-RPC Se ha agregado a la configuración de WordPress y el valor predeterminado es " DESC ".

Una semana después, se lanzó una versión de WordPress para iPhone y se pidió a los usuarios que activaran la función. Cuatro años después de que la aplicación para iPhone se uniera a la familia, WordPress 3.5 activó el " XML-RPC ".

Las principales debilidades asociadas con XML-RPC son:

  • Ataques de fuerza bruta: los atacantes intentan iniciar sesión en WordPress usando xmlrpc.php con tantas combinaciones de nombre de usuario y contraseña. No hay restricciones de prueba. Un método en xmlrpc.php permite al atacante usar un solo comando (system.multicall) Para adivinar cientos de contraseñas.
  • Ataques de denegación de servicio a través de Pingback

Conveniencia versus seguridad de WordPress

Entonces, aquí vamos de nuevo. El mundo moderno es profundamente aburrido con sus compromisos.

Si quiere asegurarse de que nadie lleve una bomba a su barco, simplemente páselo por los detectores de metales. Si desea proteger su automóvil mientras compra, cierre las puertas y las ventanas. No puede confiar en la contraseña del sitio web para protegerlo (¿Las ventanas de los automóviles brindan suficiente protección?), Especialmente si se utiliza Jetpack o aplicaciones móviles.

Cómo deshabilitar XML-RPC en WordPress

Por lo tanto, se ha vuelto dependiente de todas estas herramientas que, a su vez, dependen de XML-RPC. Entiendo que en realidad no desea desactivar "XML-RPC" ni siquiera por un tiempo.

Sin embargo, aquí hay algunos complementos que lo ayudarán a hacerlo:

RESTO (y OAuth) al rescate

Ahora puede saber que los desarrolladores de WordPress están recurriendo a la solución REST. Los desarrolladores del equipo de la API REST tuvieron algunos problemas para prepararse, incluso con la moneda de autenticación destinada a resolver el problema de XML-RPC. Cuando esto finalmente se implemente (actualmente programado para WordPress 4.7 al final de 2016), no tendrá que usar XML-RPC para conectarse con software como JetPack.

En su lugar, se autenticará mediante el protocolo OAuth. Si no sabe qué es un protocolo OAuth, recuerde lo que sucede cuando un sitio web le pide que inicie sesión con Google, Facebook o incluso Twitter. Generalmente en estas plataformas, el protocolo utilizado es OAuth.

Prueba de la API REST de WordPress

Como dije anteriormente, la API REST aún no está integrada en el núcleo de WordPress y no lo estará por meses. Hoy puede comenzar a probarlo en sus entornos de prueba:

La API Rest definitivamente será el futuro de WordPress. Ya hemos escrito varios tutoriales sobre este último que te darán ideas sobre cómo puedes empezar a implementarlo:

Eso es todo por este tutorial. Espero que esté mejor informado sobre los riesgos asociados con el uso de XML-RPC. No dude en hacernos preguntas en el formulario comentarios.