Per conoscere meglio la funzionalità del protocollo XML-RPC in WordPress consiglio la lettura del codex di Wordress (https://codex.wordpress.org/XML-RPC_Support).
A partire da WordPress 3.5 questa opzione (XML-RPC) è abilitata di default, e la possibilità di disabilitarlo dalla bacheca di WordPress non esiste più.
Quindi per rimuovere questa funzionalità dovete inserire questo codice sul vostro functions.php:
// Disable use XML-RPC
add_filter( 'xmlrpc_enabled', '__return_false' );
// Disable X-Pingback to header
add_filter( 'wp_headers', 'disable_x_pingback' );
function disable_x_pingback( $headers ) {
unset( $headers['X-Pingback'] );
return $headers;
}
Ciò nonostante, l’attacco hacker potrebbe continuamente richiedere il file portando il server al blocco.
E’ consigliabile dunque inserire anche questa direttiva nel vostro file .htaccess. per chi utilizza Apache Server.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order allow,deny deny from all </Files>
Se usate NGINX potete bloccare l’accesso al file xmlrpc.php con questo codice:
# nginx block xmlrpc.php requests
location /xmlrpc.php {
deny all;
}
