Basicamente é a API que lhe permite publicar posts e comentários através de aplicativos externos, incluindo o app oficial do WordPress para Android e iOS. As requisições salvas pelo log ficam com o user agent em branco o que possibilita que vários bot spammers tentem injetar conteúdo duvidoso.

A nível de teste após instalar o app do WordPress em meu Android e acessar o painel admin com meu usuário, senha e domínio, percebi que meu site estava extremamente lento e com processamento do servidor anormal. Analisando o log de acessos do site, descobri uma série de requisições post ao arquivo xmlrpc.php do WordPress. Requisições com o método post não podem ser cacheadas, o que significa que todos esses acessos estavam batendo diretamente nos webservers, levando o uso de CPU ao extremo.

Renomear o arquivo parece uma solução válida, mas os requests ainda estariam sendo processados pelo servidor de PHP, retornando o erro 404 ao(s) bot(s). A melhor solução então seria bloquear o acesso ao xmlrpc.php direto no webserver ou no Varnish.

Se você utiliza o Apache no seu servidor, pode implementar o bloqueio no .htaccess, mas ao bloquear o acesso ao xmlrpc.php, você não irá mais conseguir utilizar o app do WordPress no seu Android ou iOS (ou qualquer outro aplicativo).

De qualquer forma se você não utilizam nenhum aplicativo externo, ou se não é fundamental gerenciar seu WordPress pelo Android, iOS ou outros aplicativos externos recomendo que bloqueie o arquivo xmlrpc.php, ou remova-o de seu servidor.

Para saber mais detalhes sobre esse API clique AQUI.

Qual a função do arquivo xmlrpc.php no WordPress?

Post navigation


One thought on “Qual a função do arquivo xmlrpc.php no WordPress?

  1. Pra quem não passou por esse problema é algo sem importância. Vou deixar aqui uma configuração do nginx para bloquear.
    _________________________
    location = /xmlrpc.php {
    deny all;
    }
    _________________________

    Tive problemas com várias erros do php-fpm, chegando a usar 99% de RAM. Penso que os desenvolvedores do WordPress devam analisar esse arquivo.
    Fiquei com receio de bloqueá-lo, pois pensei que era uma função para gerar um xml importante para o CMS.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*