XML-RPC è un sistema che permette di controllare WordPress da remoto.
In pratica consente di:
- pubblicare articoli senza entrare nel sito
- collegare app esterne
- usare servizi come app mobile o automazioni
Spesso è inutilizzato perché il sistema è ormai datato, sono poche le funzionalità che lo utilizzano e oggi ci sono strumenti più sicuri e moderni per rimpiazzarlo.
È attivo tramite questo endpoint:
tuosito.it/xmlrpc.php
Indice dei contenuti
Perché può essere pericoloso
1. Attacchi brute force massivi
XML-RPC permette di inviare molte richieste di login in una sola chiamata.
Risultato:
- tentativi di accesso molto più veloci
- attacchi difficili da bloccare
2. Attacchi DDoS (pingback abuse)
Gli hacker possono usare il tuo sito per:
- attaccare altri siti
- generare traffico malevolo
Senza che tu te ne accorga.
3. Difficile da monitorare
A differenza di /wp-login.php, XML-RPC:
- è meno visibile
- spesso non viene controllato nei log
Quindi gli attacchi passano “sotto traccia”.
4. Spesso è inutile
Oggi molte funzioni XML-RPC sono state sostituite da:
- REST API di WordPress
- sistemi più sicuri
Tradotto: nella maggior parte dei siti non serve più.
Come capire se XML-RPC è attivo
Prova ad aprire nel browser:
tuosito.it/xmlrpc.php
Se vedi:
“XML-RPC server accepts POST requests only”
è attivo.
Oppure usa questo servizio dedicato: xmlrpc.blog
Quando disattivarlo (quasi sempre)
Puoi disattivarlo se NON usi:
- app mobile WordPress
- servizi esterni che pubblicano contenuti
- integrazioni particolari
Nel 90% dei casi: puoi disattivarlo senza problemi
Come disattivare XML-RPC
Metodo 1: Plugin (facile)
- plugin sicurezza (Sucuri, iThemes Security, Wordfence)
- oppure plugin dedicati (anche se non vale la pena tenere un plugin attivo quando bastano due righe di codice)
Metodo 2: .htaccess
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>Metodo 3: server (consigliato)
Bloccarlo direttamente lato hosting è:
- più sicuro
- più performante
Metodo 4: disattivare via functions.php
Se non vuoi toccare il server o installare plugin, puoi aggiungere questo codice nel functions.php del tuo tema (meglio child theme):
// Disabilita XML-RPC
add_filter('xmlrpc_enabled', '__return_false');Blocca tutte le richieste XML-RPC in modo semplice e sicuro, senza appesantire il sito.
Segnali che XML-RPC è sotto attacco
- tanti accessi a
/xmlrpc.phpnei log - picchi di traffico strani
- sito lento senza motivo
In questo caso potresti già avere un problema.
Meglio disattivarlo o proteggerlo?
Best practice:
- sito standard → disattiva
- sito complesso → limita accesso (firewall / whitelist)
Se vedi traffico sospetto o non sai se il tuo sito è sicuro:
- controlla subito i log
- oppure evita rischi
Scopri il servizio di manutenzione WordPress
(per prevenire attacchi prima che diventino un problema)
FAQ
1. Cos’è XML-RPC in WordPress?
XML-RPC è un sistema che permette di gestire WordPress da remoto, per esempio tramite app o servizi esterni.
2. Perché XML-RPC può essere pericoloso?
Può essere sfruttato dagli hacker per attacchi brute force o DDoS, anche senza che tu te ne accorga.
3. Come capire se XML-RPC è attivo sul mio sito?
Basta aprire tuosito.it/xmlrpc.php nel browser: se vedi il messaggio “XML-RPC server accepts POST requests only”, è attivo.
4. È sicuro disattivare XML-RPC?
Sì, nella maggior parte dei siti non serve più e disattivarlo aumenta la sicurezza senza effetti collaterali.
5. Disattivando XML-RPC rischio di perdere funzionalità?
Solo se usi app mobile, servizi esterni o integrazioni che richiedono XML-RPC. Altrimenti non succede nulla.
6. Come posso sapere se qualcuno sta tentando di attaccare XML-RPC?
Controllando i log di accesso: picchi di richieste a /xmlrpc.php o rallentamenti inspiegabili possono indicare un attacco.