Sicuramente sai perfettamente che la sicurezza del tuo sito web è fondamentale, non c’è bisogno che te lo dica io. Forse hai già applicato varie impostazioni per rendere il tuo sito WordPress più sicuro, ma ti voglio raccontare cos’è capitato a un nostro lettore.
Se non sai che cos’è XML-RPC ti consiglio di leggere questa guida con molta attenzione!
Questo lettore è abbastanza attento alla sicurezza del suo sito WordPress, e infatti aveva:
- Installato il plugin WPS Hide Login, per mascherare l’URL /wp-login.php di accesso a WordPress;
- Installato il plugin Limit Login Attempts Reloaded, per bloccare eventuali tentativi di accesso non autorizzati.
Nonostante questi accorgimenti, il plugin Limit Login Attempts rilevava continuamente tentativi di accesso, fortunatamente tutti falliti, e alcuni sembravano particolarmente insistenti.
Ha così bloccato gli indirizzi IP più agguerriti, ma la situazione non cambiava.
Consultanto il log degli accessi, si è accorto di una dicitura particolare: “Gateway: wp_xmlrpc”.
Cosa significava? Come stavano cercando di accedere al suo sito?
Cos’è XML-RPC
Perché ti ho fatto questa spiegazione?
Perché XML-RPC può costituire un problema di sicurezza per il tuo sito WordPress.
Questo file permette la trasmissione di dati, e perciò gli hacker se ne approfittano per accedere al tuo sito e ai tuoi dati, aggirando anche gli strumenti in grado di identificare e bloccare i classici attacchi brute force.
Fortunatamente, esiste una soluzione e puoi proteggere il tuo sito disattivando XML-RPC con la procedura che ti spiego di seguito.
Verifica se XML-RPC è attivo sul tuo sito WordPress
La prima cosa da fare è assicurarti che effettivamente XML-RPC sia attivo sul tuo sito WordPress.
Puoi verificare questa impostazione sul sito WordPress XML-RPC Validation Service. Inserisci il tuo dominio, incluso http/https, nel campo Address, quindi clicca sul pulsante Check.
Se ottieni un messaggio di successo, in realtà non è un’ottima notizia, perché significa che XML-RPC è attivo.
Perciò, bisogna intervenire per disattivarlo.
Come disattivare XML-RPC su WordPress
Per disattivare XML-RPC sul tuo sito WordPress, innanzitutto rivolgiti al supporto del tuo hosting. Alcuni provider potrebbero includere questa possibilità nelle funzioni dello spazio web.
Se hai scelto un piano WordPress Gestito con Register.it, ho una buona notizia! XML-RPC è già disattivato di default. Dalla tua area utente, seleziona il tuo piano ed entra in Impostazioni hosting > Sicurezza.
Vedrai la voce “XML-RPC abuse protection – Attivo”. Questo significa che la protezione è attiva, quindi XML-RPC è disabilitato.
Se invece usi un piano WordPress non Gestito con Register.it, sempre nella sezione Impostazioni hosting > Sicurezza avrai la possibilità di attivare o disattivare l’opzione XML-RPC abuse protection.
Se il tuo hosting non ha questa funzione, puoi procedere in due modi:
- Passare subito a un piano hosting WordPress con Register.it (raccomandato);
- Disattivare XML-RPC in autonomia.
Scegliere un hosting che ha già questa protezione è l’opzione migliore perché, oltre ad avere la certezza che il tuo sito sia sicuro, sai anche che l’intera piattaforma è protetta.
Ti suggerisco di dare un’occhiata alla Digital Academy di Register.it, dove trovi un interessante webinar che parla di sicurezza WordPress e anche di XML-RPC.
Vuoi procedere con la disattivazione manuale?
Puoi utilizzare dei codici da inserire nel file .htaccess o nel file functions.php di WordPress, oppure (ancora meglio) installare un praticissimo plugin.
Disattivare XML-RPC con un plugin
Il plugin che ti consiglio di utilizzare per disattivare XML-RPC sul tuo sito WordPress si chiama Disable XML-RPC-API. È un plugin gratuito e puoi installarlo dalla tua Bacheca, cercandolo nella sezione Plugin > Aggiungi nuovo.
Una volta attivato, nel menu della tua Bacheca comparirà la voce XML-RPC Security, da cui potrai gestire le varie impostazioni.
Potrai vedere che il plugin ha diverse funzioni, ma quella che interessa a noi in questo caso è semplicemente questa:
- Vai su XML-RPC Security e seleziona la tab XML-RPC;
- Imposta il selettore XML-RPC Api Master switch su OFF.
E questo è tutto!
Ora l’accesso al tuo file xmlrpc.php è stato bloccato e il tuo sito è più sicuro.
Come ti dicevo sopra, il plugin JetPack per alcune funzioni potrebbe aver bisogno di utilizzare questo file. Se quindi utilizzi JetPack, imposta il selettore Enable xml-rpc for Jetpack su ON.
Il tuo sito rimarrà comunque al sicuro perché viene consentito l’accesso esclusivamente alle funzioni di JetPack.
Inoltre, è presente una sezione White list IPs, dove potrai inserire gli indirizzi IP che avranno accesso al file. Questo può essere utile nel caso in cui utilizzi l’app di WordPress per pubblicare i tuoi articoli.
Se vedi che la tua app non funziona come dovrebbe, aggiungi il tuo indirizzo IP alla whitelist: in questo modo, solo tu potrai avere accesso al file xmlprc.php.
Una volta salvate le modifiche, verifica nuovamente il tuo sito utilizzando il tool di validazione. Se stavolta ottieni un messaggio di errore, XML-RPC è stato disattivato correttamente sul tuo sito WordPress.
Impostazioni avanzate
Il plugin Disable XML-RPC-API ha anche delle funzioni avanzate per gestire casi particolari.
Impostando il selettore XML-RPC Api Master switch su ON, potrai decidere in quali casi impedire l’accesso al file, per esempio solo ai pingback e trackback.
È possibile, inoltre, aggiungere una blacklist di indirizzi IP.
Conclusione
Anche se fai molta attenzione alla sicurezza del tuo sito web, a volte potrebbe esserci qualche impostazione di cui non sei a conoscenza o che potresti trascurare. Il mio consiglio è di fare come il nostro lettore, e cioè osservare con attenzione tutti gli avvisi presenti sulla Bacheca di WordPress.
Consulta il log dei plugin per la sicurezza che usi e richiedi supporto o chiarimenti a un esperto se noti qualcosa di strano.
Andrea Di Rocco è il fondatore di SOS WP, una società di esperti WordPress e SEO. Dal 2012 a oggi, Andrea ha guidato il team di SOS WP, insegnando a milioni di italiani come creare qualsiasi sito web in WordPress e fornendo assistenza su siti web a 360°. La sua passione per lo sviluppo web unita alla cura del servizio clienti, hanno reso SOS WP l’azienda di sviluppo WordPress più recensita in Italia su Trustpilot con un rating Eccellente di 4,9 su 5.