Per conoscere meglio la funzionalità del protocollo XML-RPC in WordPress consiglio la lettura del codex di Wordress (https://codex.wordpress.org/XML-RPC_Support).
A partire da WordPress 3.5 questa opzione (XML-RPC) è abilitata di default, e la possibilità di disabilitarlo dalla bacheca di WordPress non esiste più.
Quindi per rimuovere questa funzionalità dovete inserire questo codice sul vostro functions.php:
// Disable use XML-RPC add_filter( 'xmlrpc_enabled', '__return_false' ); // Disable X-Pingback to header add_filter( 'wp_headers', 'disable_x_pingback' ); function disable_x_pingback( $headers ) { unset( $headers['X-Pingback'] ); return $headers; }
Ciò nonostante, l’attacco hacker potrebbe continuamente richiedere il file portando il server al blocco.
E’ consigliabile dunque inserire anche questa direttiva nel vostro file .htaccess. per chi utilizza Apache Server.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order allow,deny deny from all </Files>
Se usate NGINX potete bloccare l’accesso al file xmlrpc.php con questo codice:
# nginx block xmlrpc.php requests location /xmlrpc.php { deny all; }