Agujero de seguridad: XML-RPC activado por defecto en WordPress 3.5

De toda la vida de Jobs en WordPress el protocolo XML-RPC ha venido desactivado por defecto. Esto ha sido así debido a que es una vía de comunicación que, si no la usas, puede ser un agujero de seguridad, por donde pueden hacerte perrerías en tu web.

Pero resulta que en WordPress 3.5 ahora el XML-RPC viene activo por defecto.

El protocolo XML-RPC es necesario para conectarte a tu WordPress mediante aplicaciones móviles, de modo que si no lo tienes activo no podrás gestionar tu WordPress desde la aplicación móvil oficial de WordPress, ni desde Windows Live Writer o cualquier otra.

Y me temo que es por eso por lo que ahora viene activo por defecto, por la locura móvil, para facilitar las cosas le llaman. No obstante, según Andrew Nacin es debido a que ya no se puede considerar un agujero de seguridad como tal, pues se ha mejorado el código, y por eso lo han considerado como parte más del núcleo, y vital para el funcionamiento correcto (y móvil) de WordPress.

Tal es la cosa que incluso ha desaparecido la opción en la página de ajustes de escritura, por lo que resulta que ni siquiera puedes desactivarlo «por las buenas«, y aquí tienes la prueba.

Eso si, podemos desactivarlo «por las malas«, más abajo veremos cómo.

La cosa es tan gorda que si actualizas a WordPress 3.5 la opción enable_xmlrpc se borra de la base de datos, con lo que el servicio se activa aunque tu lo tuvieses desactivado previamente en los ajustes de escritura. Solo se respetarán, aunque ya están marcados como obsoletos, los filtros pre_option_enable_xmlrpc y option_enable_xmlrpc.

No obstante, como ya te he comentado antes es posible desactivar el servicio, pues – afortunadamente – WordPress 3.5 ha incorporado el filtro enable_xmlrpc, y si lo incluyes en tu archivo wp_config.php, después de la línea require_once(ABSPATH . 'wp-settings.php');, puedes aún desactivar el protocolo XML-RPC en tu sitio. Sería algo así:

add_filter('xmlrpc_enabled', '__return_false');

Si no te atreves a tocar el fichero de configuración también puedes usar este pequeño plugin.

Y, cómo seguramente ya te habrás dado cuenta por las capturas de arriba, también ha desaparecido la opción en los ajustes de activar o desactivar el protocolo de publicación Atom.

Pues si, esto es debido a que este protocolo directamente se ha eliminado de WordPress 3.5, ya que no se utilizaba para casi nada. Así que cualquier llamada a este protocolo recibirá un bonito error 403, no pudiendo conectar con el aunque previamente lo tuvieses activado. Los plugins que usasen la clase wp_atom_server recibirán, de hecho, una viso de que la función está obsoleta.

Si, por cualquier motivo, quieres usar el protocolo AtomPub, hay solución, pues puedes instalar también un plugin que lo activa, para que no decidan tanto por ti.

Bueno, pues ya ¿opiniones al respecto?

Personalmente creo que es un error no permitir activar o desactivar el XML-RPC. Cierto es que yo lo suelo activar en mis blogs personales, pero no es así en los de clientes, y me parece una decisión equivocada al menos no haber dejado la opción de desactivarlo, aunque incluso viniese activo por defecto.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(1 votos, promedio: 5)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

9 comentarios en “Agujero de seguridad: XML-RPC activado por defecto en WordPress 3.5”

  1. Sin duda es un error no permitir al usuario final decidir si quiere o no quiere tenerlo activado, luego son este tipo de cosillas las que hacen que la gente se decante por un servicio u otro o incluso que llegue a abandonarlo.

    Por otro lado si ahora no se considera un agujero de seguridad pues estupendo, solamente habrá que confiar en que efectivamente no lo sea y no pase nada xD

  2. Fernando Zorrilla

    A pesar de que los argumentos en el thread son sólidos, la imposibilidad de deshabilitar funcionalidades de manera aislada es algo ilógico. Lo de Atom es entendible.
    Las simplificaciones de WP se acercan más a amputaciones que a un corte de pelo…

  3. Entiendo que sería mejor dejar la opción en el administrador, pero se puede cambiar en el wp-config.php. Tampoco creo que sea el fin del mundo ni nada. Otra cosas es que no hubiese forma de deshabilitarlo.

  4. Pingback: Desactivar autoincrustados oEmbed (otra más) | Ayuda WordPress

  5. Pingback: Como asegurar una tienda online WooCommerce

  6. Pingback: Cómo solucionar el error HTTP 403 de conexión con Jetpack

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido