XML-RPC | Docs WordPress

Qué es XML-RPC

XML-RPC es un protocolo antiguo de WordPress que permite la comunicación remota con tu sitio. Originalmente se usaba para publicar posts desde aplicaciones de escritorio y para pingbacks/trackbacks.

Por qué está bloqueado

XML-RPC es uno de los vectores de ataque más explotados en WordPress:

Ataques de fuerza bruta: Permite probar miles de combinaciones usuario/contraseña sin los límites del formulario de login
Ataques DDoS amplificados: Los pingbacks se usan para amplificar ataques de denegación de servicio
Enumeración de usuarios: Permite descubrir nombres de usuario válidos

Estado en tu sitio

XML-RPC está bloqueado a nivel de servidor en tu sitio WordPress Manejado. OpenLiteSpeed devuelve un error 403 Forbidden para cualquier solicitud a xmlrpc.php, sin siquiera cargar PHP.

Puedes verificar el estado en Security → grid de Login Protection → XML-RPC Status: debería mostrar Blocked.

¿Qué aplicaciones usan XML-RPC?

Si usas alguna de estas herramientas, podrían verse afectadas:

Apps de WordPress para móvil (las versiones antiguas usaban XML-RPC)
Jetpack (algunas funciones legacy)
Clientes de blog de escritorio antiguos

Las versiones modernas de estas aplicaciones usan la REST API de WordPress en lugar de XML-RPC, por lo que no deberían verse afectadas.

¿Puedo habilitar XML-RPC?

Por seguridad, XML-RPC permanece bloqueado a nivel del servidor web. Si tienes un caso de uso legítimo que requiere XML-RPC, contacta a soporte para evaluar alternativas.

Recomendación: Mantén XML-RPC bloqueado. La REST API de WordPress ofrece todas las funcionalidades necesarias con mejor seguridad.