Do czego służy plik xmlrpc.php w Wordpress

Uwaga, poniższa porada jest poglądowa i ew. wprowadzenie zmian na własnym serwerze wg jej opisu użytkownik dokonuje na własną odpowiedzialność i własny koszt. Dlatego jeżeli nie jesteś w stanie rozwiązać problemu z niniejszą poradą, prosimy o skontaktowanie się z naszym serwisem ( info@hostit.pl ), w celu uzyskania wyceny i zlecenia konfiguracji naszym technikom (także konfiguracje zdalne).

Dostęp do tego pliku możliwy jest dla każdej instalacji strony opartej na skrypcie Wordpress pod adresem _nazwa-twojej-domeny.pl/xmlrpc.php i może być wykorzystane np. przez zewnętrzne aplikacje do zarządzania Wordpressem.

Jeżeli do pisania postów na swoim blogu wykorzystujesz wyłącznie wew. mechanizmy do ich tworzenia (po zalogowaniu się do wp-admin), z pominięciem innych zew. programów (np. w smartfonie lub komputerze) możesz zablokować dostęp do tego adresu, poprzez umieszczenie odpowiedniej dyrektywy w pliku .htaccess (jak poniżej):

 <files xmlrpc.php>
  order deny,allow
  deny from all
 </files>

Dlaczego xmlrpc.php może być powodem problemów

Wiele automatycznych skryptów wykorzystuje plik xmlrpc.php do przeprwoadzenia ataków typu Brute Force (w celu uzyskania dostępu do Twojego serwera za pomocą słabych haseł). Plik xmlrpc.php, a właściwie częste ataki na ten adres, może być powodem błędów w działaniu Twoich stron jak i nadmiernego wykorzystania zasobów bezpieczeństwa, a tym samym wyższych opłat za Twój hosting.

Zalecamy zablokowanie lub ograniczenia dostępu do pliku xmlrpc.php dla wybranych adresów IP.