Desativar xmlrpc no WordPress: como e por quê

Tipo Seguranca

Nome do erro Como desativar o XML-RPC com segurança no WordPress

Severidade Atenção

Descrição Desativar o XML-RPC no WordPress significa bloquear o arquivo xmlrpc.php, uma interface antiga de acesso remoto que invasores abusam para força bruta amplificada e ataques de pingback. Em sites que não usam app móvel nem Jetpack clássico, desligá-lo remove uma superfície de ataque inteira sem perda de função.

Conteúdo exclusivo para membros Pro

Faça upgrade para acessar este item completo.

// ★ Conteúdo disponível para membros Pro...
// Faça upgrade para acessar este item.

Perguntas frequentes

Desativar o XML-RPC quebra alguma coisa no meu site?

Só se você usa o app oficial do WordPress, o Jetpack clássico ou publicação por e-mail, que dependem do xmlrpc.php. Sites comuns gerenciados pelo painel e pela REST API não perdem nenhuma função ao desativá-lo.

Bloquear pelo .htaccess é melhor que desativar por plugin?

Sim. O .htaccess barra a requisição antes de o PHP carregar, gastando menos recurso e protegendo contra força bruta de forma mais eficiente. O filtro por código só age depois que o WordPress já iniciou o processamento.

O XML-RPC é o mesmo que a REST API do WordPress?

Não. São interfaces diferentes. O XML-RPC é o protocolo antigo via xmlrpc.php; a REST API é a interface moderna em /wp-json/. Desativar o XML-RPC não afeta a REST API, e a maioria dos plugins atuais usa a REST.

Como sei se estou sob ataque de força bruta pelo XML-RPC?

Olhe o log de acesso do servidor: muitos POST para /xmlrpc.php do mesmo IP em poucos segundos é o sinal clássico. Plugins de segurança também alertam "XML-RPC multicall attempt" quando detectam o abuso do método multicall.

Preciso desativar o XML-RPC se já uso um firewall?

Um WAF ajuda limitando as requisições, mas bloquear o arquivo direto é a defesa mais limpa quando você não usa o recurso. Camadas se somam: firewall mais xmlrpc.php negado no servidor cobrem o vetor por completo.

Como reativo o XML-RPC se precisar depois?

Remova o bloco de negação do xmlrpc.php que você adicionou ao .htaccess, ou apague o filtro xmlrpc_enabled. Acesse seudominio.com/xmlrpc.php: voltar a mostrar "XML-RPC server accepts POST requests only" confirma que está ativo de novo.

Pro Grave

Como corrigir o código 2FA que não chega no All in One Security

O código 2FA do AIOS que não chega quase sempre não é um código por e-mail, e sim o código TOTP gerado pelo app autenticador sendo recusado no login. A causa principal é o relógio do servidor ou do celular fora de sincronia, porque o código TOTP é calculado pela hora e só vale por cerca de 30 segundos.

Pro Crítico

Como corrigir o checkout bloqueado pelo firewall do All in One Security no WooCommerce

O checkout bloqueado pelo firewall do All in One Security acontece quando uma regra avancada do AIOS inspeciona o POST da finalizacao de compra e devolve 403 Forbidden, impedindo o cliente de concluir o pedido. A causa quase sempre e o filtro de string avancado ou as regras 6G barrando a rota admin-ajax.php ou a Store API do WooCommerce.

Pro Crítico

Como corrigir vulnerabilidade SQL Injection no WordPress

Uma vulnerabilidade de SQL Injection no WordPress permite que um invasor injete comandos SQL através de uma entrada mal tratada e leia ou altere o banco de dados. Corrigir significa achar a consulta vulnerável, usar consultas preparadas com $wpdb->prepare() e atualizar o plugin ou tema que abriu a falha.

Pro Crítico

Como corrigir vulnerabilidade de plugin no WordPress atualizando com segurança

Uma vulnerabilidade de plugin no WordPress é uma falha de segurança conhecida (catalogada como CVE) numa versão específica do plugin. A correção real é atualizar para a versão que aplica o patch, depois de fazer backup e validar em ambiente de teste para não quebrar o site.

Pro Grave

Como corrigir o bloqueio de login (lockout) no All in One Security

O login lockout do AIOS acontece quando o All in One Security tranca o seu IP no recurso Login Lockdown depois de exceder o limite de tentativas, ou quando o Cookie-Based Brute Force Prevention esconde o wp-login.php e te redireciona para 127.0.0.1 por falta do cookie secreto. Em ambos os casos você perde o acesso ao painel.

Pro Grave

Como corrigir o conflito de login entre All in One Security e Elementor Pro

O conflito de login entre All in One Security e Elementor Pro surge quando recursos do AIOS (Cookie-Based Brute Force Prevention, Rename Login Page ou CAPTCHA) interceptam o wp-login.php, para onde o widget de Login do Elementor Pro envia as credenciais. O login recarrega, da erro de captcha ou redireciona para 127.0.0.1.

Setores

Extensões

Integrações

Como desativar o XML-RPC com segurança no WordPress

Conteúdo exclusivo para membros Pro

Perguntas frequentes

Itens relacionados

Como corrigir o código 2FA que não chega no All in One Security

Como corrigir o checkout bloqueado pelo firewall do All in One Security no WooCommerce

Como corrigir vulnerabilidade SQL Injection no WordPress

Como corrigir vulnerabilidade de plugin no WordPress atualizando com segurança

Como corrigir o bloqueio de login (lockout) no All in One Security

Como corrigir o conflito de login entre All in One Security e Elementor Pro

Setores

Extensões

Integrações

Extensões

Hero Sections

Seções de CTA

Login

Blog

Cabeçalhos

Seções de FAQ

Cadastro

Blog individual

Rodapés

Seções de contato

Seções de preços

Faixas

Portfólio

Seções de equipe

Números

Logotipos