Como liberar acesso ao arquivo XMLRPC?

De Wiki
Ir para: navegação, pesquisa

Devido ao elevado número de ataques ao arquivo xmlrpc.php, utilizado em alguns CMSs como WordPress, Joomla e Drupal, bloqueamos o mesmo em nossa estrutura visando evitar invasão a sites e blogs com sistema de gerenciamento.

Por padrão, o WordPress instala o arquivo xmlrpc.php, que permite publicar posts e comentários através de aplicativos externos, incluindo o App oficial do WordPress para Android e iOS.

Caso seu site utilize algum plugin que necessite a utilização deste arquivo, recomendamos que aplique a regra a seguir em seu arquivo .htaccess para liberá-lo:

<Files "xmlrpc.php">
Order Allow,Deny
Allow from all
</Files>

Se optar por liberar apenas um determinado endereço IP para acesso, pode-se utilizar a regra abaixo:

<Files xmlrpc.php>
 SetEnvIF X-FORWARDED-FOR "<IP>" AllowIP
 Order Deny,Allow
 Deny from all
 Allow from env=AllowIP
</Files>


Por fim, seguem algumas recomendações para evitar invasões:

  • Use senhas fortes com 8 ou mais caracteres, misturando números e letras maiúsculas e minúsculas;
  • Mantenha sempre a instalação do WordPress e de seus Plugins atualizados com a última versão;
  • Faça backups regulares de sua instalação e banco de dados WordPress.

Para uma descrição detalhada do problema encontrado no arquivo xmlrpc.php, veja o artigo a seguir: Brute Force Amplification Attacks Against WordPress XMLRPC