Cómo bloquear xmlrpc.php en WordPress: Guía para reducir CPU y prevenir ataques

Cómo bloquear xmlrpc.php en WordPress: Guía para reducir CPU y prevenir ataques

El archivo xmlrpc.php ha sido parte del núcleo de WordPress desde sus primeras versiones y permite la comunicación remota con el sitio web, sin embargo, su uso indebido o no controlado puede generar problemas de rendimiento y seguridad en tu página. 

Síntomas comunes cuando xmlrpc.php afecta tu sitio

  • Uso elevado de CPU o RAM con instalaciones WordPress.
  • Cientos o miles de accesos por segundo al archivo /xmlrpc.php detectados en los logs.
  • Bloqueo temporal o lentitud en el sitio sin una causa aparente.
  • Alertas de seguridad por intentos de fuerza bruta o ataques DDoS 

Causas frecuentes

  • Ataques de fuerza bruta: bots automatizados usan este archivo para probar combinaciones de usuario y contraseña.
  • Exceso de solicitudes pingback: algunos sitios permiten enviar pingbacks, lo que puede usarse para lanzar ataques DDoS.
  • Apps o servicios remotos mal configurados: conexiones desde apps móviles, Jetpack u otras herramientas que usan xmlrpc.php de forma constante.
  • Plugins antiguos o mal optimizados que hacen uso intensivo de esta función.

Cómo bloquear o limitar el uso de xmlrpc.php

Si no usas funciones remotas de WordPress (como la app móvil, Jetpack, publicación externa, etc.), puedes bloquear este archivo de forma segura. A continuación, te mostramos cómo hacerlo según el tipo de servidor:

🔹 Opción 1: Bloqueo desde .htaccess (servidores Apache)

  1. Accede a tu cuenta cPanel o vía FTP.
  2. Abre el archivo .htaccess ubicado en la raíz de tu instalación WordPress.
  3. Agrega el siguiente bloque de código al final del archivo:
    <Files xmlrpc.php>
        Order Deny,Allow
        Deny from all
    </Files>
  4. Guarda los cambios y verifica que el sitio siga funcionando correctamente.

🔹 Opción 2: Bloqueo en NGINX

Si tu servidor utiliza NGINX, agrega esta directiva dentro del bloque server en tu archivo de configuración:

location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}

Nota: Si no tienes acceso a estas configuraciones, puedes solicitar el ajuste a través de un ticket de soporte.

🔹 Opción 3: Uso de plugin

También puedes instalar un plugin gratuito como Disable XML-RPC para desactivar esta función directamente desde el panel de WordPress sin modificar archivos del sistema.

Consejos adicionales

  • Si usas la app móvil de WordPress o servicios como Jetpack, asegúrate de que realmente necesitas xmlrpc.php antes de bloquearlo. Como alternativa, considera migrar a la API REST de WordPress.
  • Monitorea los accesos al archivo con herramientas como Imunify360ModSecurity o los logs de Apache/Nginx.

En Webzi estamos comprometidos con la seguridad y eficiencia de tus servicios. Si tienes dudas sobre este procedimiento o necesitas asistencia para implementarlo, no dudes en contactarnos.

    • Related Articles

    • Cómo aumentar el límite de memoria en WordPress desde cPanel

      En ocasiones, al instalar o usar temas y plugins en WordPress, puedes encontrarte con errores relacionados con el memory limit o límite de memoria asignado a PHP. Algunos mensajes comunes son: Allowed memory size of xxx bytes exhausted... Fatal ...

    • Acelera WordPress utilizando WP Super Cache correctamente

      WP Super Cache es uno de los plugins de caché más eficientes para WordPress. Si tu sitio carga lento o los visitantes ven contenido desactualizado, una configuración adecuada puede resolverlo. Esta guía te muestra cómo configurarlo correctamente. ...

    • 🎥 Crea y configura tu sitio web con WordPress desde cero: Video tutorial paso a paso

      Aprende cómo construir un sitio web profesional con WordPress en simples pasos, incluso si no tienes experiencia previa. ? ¿Qué aprenderás en este video? ? Cómo acceder y configurar tu administrador de WordPress ? Personalizar el idioma, zona ...

    • ¿Qué es y cómo configurar WP Accelerate?

      WP Accelerate es un plugin diseñado para WordPress, el cual cuenta con un conjunto de optimizaciones diseñadas para mejorar el rendimiento de los sitios WordPress alojados en entornos con cPanel y CloudLinux. Integra diversas técnicas y herramientas ...

    • Cómo depurar y optimizar la tabla de logs en Moodle

      Las instalaciones de Moodle con cientos o miles de usuarios activos generan una enorme cantidad de registros de actividad. La tabla principal donde se almacenan estos registros es mdl_logstore_standard_log, y con el tiempo puede crecer hasta ocupar ...