Centro de Ayuda

Cómo bloquear xmlrpc.php en WordPress: Guía para reducir CPU y prevenir ataques

Cómo bloquear xmlrpc.php en WordPress: Guía para reducir CPU y prevenir ataques

El archivo xmlrpc.php ha sido parte del núcleo de WordPress desde sus primeras versiones y permite la comunicación remota con el sitio web, sin embargo, su uso indebido o no controlado puede generar problemas de rendimiento y seguridad en tu página. 

Síntomas comunes cuando xmlrpc.php afecta tu sitio

  • Uso elevado de CPU o RAM con instalaciones WordPress.
  • Cientos o miles de accesos por segundo al archivo /xmlrpc.php detectados en los logs.
  • Bloqueo temporal o lentitud en el sitio sin una causa aparente.
  • Alertas de seguridad por intentos de fuerza bruta o ataques DDoS 

Causas frecuentes

  • Ataques de fuerza bruta: bots automatizados usan este archivo para probar combinaciones de usuario y contraseña.
  • Exceso de solicitudes pingback: algunos sitios permiten enviar pingbacks, lo que puede usarse para lanzar ataques DDoS.
  • Apps o servicios remotos mal configurados: conexiones desde apps móviles, Jetpack u otras herramientas que usan xmlrpc.php de forma constante.
  • Plugins antiguos o mal optimizados que hacen uso intensivo de esta función.

Cómo bloquear o limitar el uso de xmlrpc.php

Si no usas funciones remotas de WordPress (como la app móvil, Jetpack, publicación externa, etc.), puedes bloquear este archivo de forma segura. A continuación, te mostramos cómo hacerlo según el tipo de servidor:

🔹 Opción 1: Bloqueo desde .htaccess (servidores Apache)

  1. Accede a tu cuenta cPanel o vía FTP.
  2. Abre el archivo .htaccess ubicado en la raíz de tu instalación WordPress.
  3. Agrega el siguiente bloque de código al final del archivo:
    <Files xmlrpc.php>
        Order Deny,Allow
        Deny from all
    </Files>
  4. Guarda los cambios y verifica que el sitio siga funcionando correctamente.

🔹 Opción 2: Bloqueo en NGINX

Si tu servidor utiliza NGINX, agrega esta directiva dentro del bloque server en tu archivo de configuración:

location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}

Nota: Si no tienes acceso a estas configuraciones, puedes solicitar el ajuste a través de un ticket de soporte.

🔹 Opción 3: Uso de plugin

También puedes instalar un plugin gratuito como Disable XML-RPC para desactivar esta función directamente desde el panel de WordPress sin modificar archivos del sistema.

Consejos adicionales

  • Si usas la app móvil de WordPress o servicios como Jetpack, asegúrate de que realmente necesitas xmlrpc.php antes de bloquearlo. Como alternativa, considera migrar a la API REST de WordPress.
  • Monitorea los accesos al archivo con herramientas como Imunify360, ModSecurity o los logs de Apache/Nginx.

En Webzi estamos comprometidos con la seguridad y eficiencia de tus servicios. Si tienes dudas sobre este procedimiento o necesitas asistencia para implementarlo, no dudes en contactarnos.

Artículos relacionados

Manejo de errores utilizando PHP: Un enfoque completo a las distintas declaraciones
Versiones y extensiones de PHP en cPanel
Conecta Visual Studio Code a cPanel mediante SSH
Depura y optimiza la tabla de logs en Moodle
Interpreta un escaneo de seguridad de tus archivos
¡Vamos adelante!

Comienza HOY por sólo $69.00/mes

Incluye constructor web, 30GB en la nube, +200 Apps y correo electrónico profesional.

Panel intuitivo
Soporte 24/7
Constructor web
Contratar Ahora

Garantía de devolución de 30 días