Basicamente é a API que lhe permite publicar posts e comentários através de aplicativos externos, incluindo o app oficial do WordPress para Android e iOS. As requisições salvas pelo log ficam com o user agent em branco o que possibilita que vários bot spammers tentem injetar conteúdo duvidoso.

A nível de teste após instalar o app do WordPress em meu Android e acessar o painel admin com meu usuário, senha e domínio, percebi que meu site estava extremamente lento e com processamento do servidor anormal. Analisando o log de acessos do site, descobri uma série de requisições post ao arquivo xmlrpc.php do WordPress. Requisições com o método post não podem ser cacheadas, o que significa que todos esses acessos estavam batendo diretamente nos webservers, levando o uso de CPU ao extremo.

Renomear o arquivo parece uma solução válida, mas os requests ainda estariam sendo processados pelo servidor de PHP, retornando o erro 404 ao(s) bot(s). A melhor solução então seria bloquear o acesso ao xmlrpc.php direto no webserver ou no Varnish.

Se você utiliza o Apache no seu servidor, pode implementar o bloqueio no .htaccess, mas ao bloquear o acesso ao xmlrpc.php, você não irá mais conseguir utilizar o app do WordPress no seu Android ou iOS (ou qualquer outro aplicativo).

De qualquer forma se você não utilizam nenhum aplicativo externo, ou se não é fundamental gerenciar seu WordPress pelo Android, iOS ou outros aplicativos externos recomendo que bloqueie o arquivo xmlrpc.php, ou remova-o de seu servidor.

Para saber mais detalhes sobre esse API clique AQUI.

Qual a função do arquivo xmlrpc.php no WordPress?

Post navigation


Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*