Hai bisogno di un sito web moderno e funzionale?
Richiedilo Ora!Disabilitare XML-RPC in WordPress: perché e come farlo
Se hai un sito WordPress, potresti aver sentito parlare di XML-RPC senza sapere esattamente cos’è e a cosa serve. In poche parole, si tratta di un sistema che permette a applicazioni esterne di comunicare con il tuo sito. Ma perché se ne parla tanto in termini di sicurezza? Vediamolo nel dettaglio.
XML-RPC è stato introdotto in WordPress per consentire interazioni remote con il sito. Grazie a questo protocollo, è possibile:
Pubblicare articoli da app come WordPress per iOS e Android
- Collegare strumenti di terze parti per la gestione del sito
- Usare servizi come Jetpack per statistiche e funzionalità avanzate
Negli anni 2000, quando le connessioni erano più limitate, XML-RPC era essenziale per gestire un sito in remoto. Tuttavia, oggi esistono metodi più moderni e sicuri.
| Caratteristica | XML-RPC | REST API |
|---|---|---|
| Metodo di comunicazione | XML (più pesante) | JSON (più leggero) |
| Sicurezza | Vulnerabile agli attacchi | Più sicuro |
| Velocità | Lenta | Veloce |
Oggi XML-RPC è obsoleto e lascia il sito esposto a rischi di sicurezza. Ecco perché la maggior parte degli esperti consiglia di disabilitarlo completamente.
Perché disattivare XML-RPC in WordPress?
Ora che abbiamo visto cos’è XML-RPC e a cosa serve, parliamo del vero problema: perché dovresti disabilitarlo?
XML-RPC è stato utile in passato, ma oggi è considerato un punto debole della sicurezza di WordPress. Se lasciato attivo, può aprire la porta a vari tipi di attacchi. Vediamo i principali rischi.
I rischi di sicurezza associati a XML-RPC
1️⃣ Brute Force Attack (attacchi a forza bruta)
- XML-RPC permette ai malintenzionati di provare migliaia di combinazioni di username e password in poco tempo, rendendo più facile l’accesso non autorizzato al tuo sito.
2️⃣ Attacchi DDoS (Distributed Denial of Service)
- Tramite XML-RPC, gli hacker possono inviare un enorme numero di richieste al tuo server, mandandolo in tilt e rendendo il sito irraggiungibile per gli utenti legittimi.
3️⃣ Abuso della funzione “pingback”
- XML-RPC ha una funzione chiamata pingback, pensata per notificare altri siti quando linkano un tuo contenuto. Gli hacker possono sfruttarla per attaccare altri siti attraverso il tuo, facendo risultare il tuo dominio come complice involontario di attacchi DDoS.
4️⃣ Possibili vulnerabilità future
- Anche se WordPress rilascia aggiornamenti di sicurezza, XML-RPC non è più una priorità di sviluppo, quindi eventuali falle potrebbero rimanere irrisolte per lungo tempo.
📌 In poche parole: mantenere XML-RPC attivo è un rischio inutile. A meno che tu non abbia davvero bisogno di questa funzione, è meglio disabilitarlo il prima possibile.
Come verificare se XML-RPC è attivo nel tuo sito
Prima di procedere alla disattivazione, è importante verificare se XML-RPC è attivo sul tuo sito WordPress. Ecco il metodo più semplice e veloce per controllare.
Uno dei modi più veloci è usare un tool online come:
🔗 XML-RPC Validator
- Inserisci l’URL del tuo sito
- Premi il pulsante per avviare il test
- Se il tool ti restituisce un messaggio di successo, significa che XML-RPC è attivo
- Se invece ricevi un errore, allora è già disattivato
Come disabilitare XML-RPC in WordPress
Se hai verificato che XML-RPC è attivo sul tuo sito, è il momento di disabilitarlo per evitare rischi di sicurezza. Ci sono diversi modi per farlo: con codice, con un plugin o tramite file .htaccess. Ti mostrerò le opzioni migliori!
Disabilitazione tramite codice (functions.php)
Uno dei modi più semplici per disabilitare XML-RPC è aggiungere una riga di codice nel file functions.php del tuo tema aggiungendo questa riga di codice:
add_filter('xmlrpc_enabled', '__return_false');Disabilitazione tramite plugin (soluzione consigliata per chi non vuole modificare il codice)
Se preferisci un metodo più semplice e senza rischi di errori nel codice, puoi usare un plugin. Ecco alcuni il migliore:
✅ Disable XML-RPC-API – Blocca completamente l’accesso a XML-RPC.
Disabilitazione tramite file .htaccess (protezione lato server)
Se vuoi bloccare XML-RPC direttamente a livello di server, puoi modificare il file .htaccess (valido solo per server Apache).
📌 Procedura:
- Accedi ai file del tuo sito via FTP o tramite il file manager di cPanel.
- Apri il file .htaccess nella root del sito.
- Aggiungi questo codice in fondo al file:
# Blocca XML-RPC
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>🔹 Vantaggio: Questo metodo è più sicuro, perché blocca XML-RPC prima ancora che WordPress lo carichi.
Conclusione
XML-RPC è ormai obsoleto e pericoloso per la sicurezza di WordPress. Se il tuo sito non ne ha bisogno, disattivalo subito e usa alternative più moderne come la REST API.
Se vuoi proteggere ulteriormente il tuo sito, ti consiglio di installare un plugin di sicurezza come Wordfence o Sucuri, e di tenere sempre WordPress aggiornato.