Sicuramente sai perfettamente che la sicurezza del tuo sito web è fondamentale, non c’è bisogno che te lo dica io. Forse hai già applicato varie impostazioni per rendere il tuo sito WordPress più sicuro, ma ti voglio raccontare cos’è capitato a un nostro lettore.
Se non sai che cos’è XML-RPC ti consiglio di leggere questa guida con molta attenzione!
Questo lettore è abbastanza attento alla sicurezza del suo sito WordPress, e infatti aveva:
Nonostante questi accorgimenti, il plugin Limit Login Attempts rilevava continuamente tentativi di accesso, fortunatamente tutti falliti, e alcuni sembravano particolarmente insistenti.
Ha così bloccato gli indirizzi IP più agguerriti, ma la situazione non cambiava.
Consultanto il log degli accessi, si è accorto di una dicitura particolare: “Gateway: wp_xmlrpc”.
Cosa significava? Come stavano cercando di accedere al suo sito?
Perché ti ho fatto questa spiegazione?
Perché XML-RPC può costituire un problema di sicurezza per il tuo sito WordPress.
Questo file permette la trasmissione di dati, e perciò gli hacker se ne approfittano per accedere al tuo sito e ai tuoi dati, aggirando anche gli strumenti in grado di identificare e bloccare i classici attacchi brute force.
Fortunatamente, esiste una soluzione e puoi proteggere il tuo sito disattivando XML-RPC con la procedura che ti spiego di seguito.
La prima cosa da fare è assicurarti che effettivamente XML-RPC sia attivo sul tuo sito WordPress.
Puoi verificare questa impostazione sul sito WordPress XML-RPC Validation Service. Inserisci il tuo dominio, incluso http/https, nel campo Address, quindi clicca sul pulsante Check.
Se ottieni un messaggio di successo, in realtà non è un’ottima notizia, perché significa che XML-RPC è attivo.
Perciò, bisogna intervenire per disattivarlo.
Per disattivare XML-RPC sul tuo sito WordPress, innanzitutto rivolgiti al supporto del tuo hosting. Alcuni provider potrebbero includere questa possibilità nelle funzioni dello spazio web.
Se hai scelto un piano WordPress Gestito con Register.it, ho una buona notizia! XML-RPC è già disattivato di default. Dalla tua area utente, seleziona il tuo piano ed entra in Impostazioni hosting > Sicurezza.
Vedrai la voce “XML-RPC abuse protection – Attivo”. Questo significa che la protezione è attiva, quindi XML-RPC è disabilitato.
Se invece usi un piano WordPress non Gestito con Register.it, sempre nella sezione Impostazioni hosting > Sicurezza avrai la possibilità di attivare o disattivare l’opzione XML-RPC abuse protection.
Se il tuo hosting non ha questa funzione, puoi procedere in due modi:
Scegliere un hosting che ha già questa protezione è l’opzione migliore perché, oltre ad avere la certezza che il tuo sito sia sicuro, sai anche che l’intera piattaforma è protetta.
Ti suggerisco di dare un’occhiata alla Digital Academy di Register.it, dove trovi un interessante webinar che parla di sicurezza WordPress e anche di XML-RPC.
Vuoi procedere con la disattivazione manuale?
Puoi utilizzare dei codici da inserire nel file .htaccess o nel file functions.php di WordPress, oppure (ancora meglio) installare un praticissimo plugin.
Il plugin che ti consiglio di utilizzare per disattivare XML-RPC sul tuo sito WordPress si chiama Disable XML-RPC-API. È un plugin gratuito e puoi installarlo dalla tua Bacheca, cercandolo nella sezione Plugin > Aggiungi nuovo.
Una volta attivato, nel menu della tua Bacheca comparirà la voce XML-RPC Security, da cui potrai gestire le varie impostazioni.
Potrai vedere che il plugin ha diverse funzioni, ma quella che interessa a noi in questo caso è semplicemente questa:
E questo è tutto!
Ora l’accesso al tuo file xmlrpc.php è stato bloccato e il tuo sito è più sicuro.
Come ti dicevo sopra, il plugin JetPack per alcune funzioni potrebbe aver bisogno di utilizzare questo file. Se quindi utilizzi JetPack, imposta il selettore Enable xml-rpc for Jetpack su ON.
Il tuo sito rimarrà comunque al sicuro perché viene consentito l’accesso esclusivamente alle funzioni di JetPack.
Inoltre, è presente una sezione White list IPs, dove potrai inserire gli indirizzi IP che avranno accesso al file. Questo può essere utile nel caso in cui utilizzi l’app di WordPress per pubblicare i tuoi articoli.
Se vedi che la tua app non funziona come dovrebbe, aggiungi il tuo indirizzo IP alla whitelist: in questo modo, solo tu potrai avere accesso al file xmlprc.php.
Una volta salvate le modifiche, verifica nuovamente il tuo sito utilizzando il tool di validazione. Se stavolta ottieni un messaggio di errore, XML-RPC è stato disattivato correttamente sul tuo sito WordPress.
Impostazioni avanzate
Il plugin Disable XML-RPC-API ha anche delle funzioni avanzate per gestire casi particolari.
Impostando il selettore XML-RPC Api Master switch su ON, potrai decidere in quali casi impedire l’accesso al file, per esempio solo ai pingback e trackback.
È possibile, inoltre, aggiungere una blacklist di indirizzi IP.
Anche se fai molta attenzione alla sicurezza del tuo sito web, a volte potrebbe esserci qualche impostazione di cui non sei a conoscenza o che potresti trascurare. Il mio consiglio è di fare come il nostro lettore, e cioè osservare con attenzione tutti gli avvisi presenti sulla Bacheca di WordPress.
Consulta il log dei plugin per la sicurezza che usi e richiedi supporto o chiarimenti a un esperto se noti qualcosa di strano.
Andrea Di Rocco è il fondatore di SOS WP, una società di esperti WordPress e SEO. Dal 2012 a oggi, Andrea ha guidato il team di SOS WP, insegnando a milioni di italiani come creare qualsiasi sito web in WordPress e fornendo assistenza su siti web a 360°. La sua passione per lo sviluppo web unita alla cura del servizio clienti, hanno reso SOS WP l’azienda di sviluppo WordPress più recensita in Italia su Trustpilot con un rating Eccellente di 4,9 su 5.
Attraverso il bonus “MMMIT/Invitalia” puoi ricevere un contributo a fondo perduto del 50% per attivare un Server in cloud, digitalizzare…
Un futuro più semplice e innovativo per le piccole imprese con l’intelligenza artificiale generativa Con sviluppi senza precedenti nelle capacità…
Proteggi il tuo brand da frodi e attacchi informatici identificando le estensioni di dominio più pericolose. Scopri i fattori di…
Scoperta una vulnerabilità nel plugin Really Simple Security che potrebbe consentire accessi non autorizzati come amministratore. Ecco cosa sapere per…
Fino ad oggi le esigenze di tutela della privacy hanno portato al divieto di emissione di fattura elettronica per le prestazioni sanitarie rese…
Il dominio .pro comunica professionalità, affidabilità e competenza. È il tld ideale per liberi professionisti e aziende che vogliono distinguersi…
Il sito utilizza cookie di profilazione propri e di terze parti. Se prosegui nella navigazione selezionando un elemento del sito, acconsenti all'uso dei cookie.
APPROFONDISCI