Disable XML-RPC-API for WordPress

Se gestisci un sito WordPress da un po’, probabilmente hai sentito storie dell’orrore su XML-RPC che è una stagione aperta per hacker o bot che martellano il tuo login. Sì, questo è ciò che mi ha spinto a provare Disabilita XML-RPC-API per WordPress. È un semplice plugin che sostanzialmente spegne l’interfaccia XML-RPC presa di mira da molti attacchi, quindi il tuo sito non si troverà sulla linea di fuoco. Non ero sicuro di quanto fosse importante finché non ho visto diminuire l'utilizzo della CPU del mio server dopo averlo configurato, inoltre mi sono sentito meglio sapendo che un'altra porta era chiusa a chiave.

La roba buona

Ciò che mi ha davvero colpito è stata la facilità di configurazione. Nessuna configurazione complicata o permessi strani. Basta installare, attivare e l'accesso boom-XML-RPC sarà disabilitato. Mi è piaciuto anche il fatto che non si limitasse a bloccare ciecamente xmlrpc.php. Se lo desideri, puoi inserire gli IP nella whitelist, il che è utile se utilizzi app remote o servizi legittimi che necessitano ancora di XML-RPC. Inoltre, ripulisce i collegamenti di pingback che non solo sono fastidiosi ma possono anche essere sfruttati per attacchi DDoS, quindi è un bel vantaggio collaterale.

Un'altra cosa interessante è la possibilità di rinominare lo slug XML-RPC o disabilitare l'API REST JSON. Personalmente non ho scherzato molto con questi, ma è bello avere questi extra per un po' più di controllo su come il tuo sito comunica con il mondo esterno. E nascondere la tua versione di WordPress? È sempre utile tenere indovinati gli hacker ficcanaso.

Il non-così-buono

Il punto è questo: questo plugin è piuttosto scarno. Non esiste una dashboard appariscente o promemoria costanti, che alcune persone potrebbero trovare troppo discrete. Se fai molto affidamento su XML-RPC per cose come Jetpack o alcune app mobili, ciò potrebbe interrompere il tuo flusso di lavoro a meno che non giochi con la whitelist. Inoltre, non ci sono molte informazioni su chi lo ha realizzato o quanto spesso viene aggiornato, il che inizialmente mi ha fatto riflettere. I plugin di sicurezza devono essere mantenuti aggiornati o rischiano di diventare inutili, quindi vorrei vedere più trasparenza prima di dipenderne a lungo termine.

Infine, non ha una prova gratuita o una versione premium, ma onestamente, per quello che fa, va bene.

In conclusione

Se gestisci un sito WordPress e desideri un modo rapido e senza fronzoli per fermare gli attacchi XML-RPC, vale la pena prendere Disable XML-RPC-API for WordPress. È gratuito, semplice e, una volta attivato, probabilmente potrai dimenticartene mentre il tuo server si rilassa un po' di più. Non aspettarti che sostituisca una suite di sicurezza completa o che ti aiuti se hai bisogno di XML-RPC per motivi legittimi. Per la maggior parte delle persone, soprattutto per coloro che non utilizzano app WordPress remote, questo plugin farà il suo lavoro e manterrà le cose un po’ più sicure senza problemi.