Agujero de seguridad: XML-RPC activado por defecto en WordPress 3.5

De toda la vida de Jobs en WordPress el protocolo XML-RPC ha venido desactivado por defecto. Esto ha sido así debido a que es una vía de comunicación que, si no la usas, puede ser un agujero de seguridad, por donde pueden hacerte perrerías en tu web.

Pero resulta que en WordPress 3.5 ahora el XML-RPC viene activo por defecto.

El protocolo XML-RPC es necesario para conectarte a tu WordPress mediante aplicaciones móviles, de modo que si no lo tienes activo no podrás gestionar tu WordPress desde la aplicación móvil oficial de WordPress, ni desde Windows Live Writer o cualquier otra.

Y me temo que es por eso por lo que ahora viene activo por defecto, por la locura móvil, para facilitar las cosas le llaman. No obstante, según Andrew Nacin es debido a que ya no se puede considerar un agujero de seguridad como tal, pues se ha mejorado el código, y por eso lo han considerado como parte más del núcleo, y vital para el funcionamiento correcto (y móvil) de WordPress.

Tal es la cosa que incluso ha desaparecido la opción en la página de ajustes de escritura, por lo que resulta que ni siquiera puedes desactivarlopor las buenas“, y aquí tienes la prueba.

Eso si, podemos desactivarlo “por las malas, más abajo veremos cómo.

La cosa es tan gorda que si actualizas a WordPress 3.5 la opción enable_xmlrpc se borra de la base de datos, con lo que el servicio se activa aunque tu lo tuvieses desactivado previamente en los ajustes de escritura. Solo se respetarán, aunque ya están marcados como obsoletos, los filtros pre_option_enable_xmlrpc y option_enable_xmlrpc.

No obstante, como ya te he comentado antes es posible desactivar el servicio, pues – afortunadamente – WordPress 3.5 ha incorporado el filtro enable_xmlrpc, y si lo incluyes en tu archivo wp_config.php, después de la línea require_once(ABSPATH . 'wp-settings.php');, puedes aún desactivar el protocolo XML-RPC en tu sitio. Sería algo así:

Si no te atreves a tocar el fichero de configuración también puedes usar este pequeño plugin.

Y, cómo seguramente ya te habrás dado cuenta por las capturas de arriba, también ha desaparecido la opción en los ajustes de activar o desactivar el protocolo de publicación Atom.

Pues si, esto es debido a que este protocolo directamente se ha eliminado de WordPress 3.5, ya que no se utilizaba para casi nada. Así que cualquier llamada a este protocolo recibirá un bonito error 403, no pudiendo conectar con el aunque previamente lo tuvieses activado. Los plugins que usasen la clase wp_atom_server recibirán, de hecho, una viso de que la función está obsoleta.

Si, por cualquier motivo, quieres usar el protocolo AtomPub, hay solución, pues puedes instalar también un plugin que lo activa, para que no decidan tanto por ti.

Bueno, pues ya ¿opiniones al respecto?

Personalmente creo que es un error no permitir activar o desactivar el XML-RPC. Cierto es que yo lo suelo activar en mis blogs personales, pero no es así en los de clientes, y me parece una decisión equivocada al menos no haber dejado la opción de desactivarlo, aunque incluso viniese activo por defecto.

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

VALORA ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
FlojitoNo está malEstá bienMe ha servidoFantástico (1 votos, promedio: 5,00 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest

Share This
Ir al contenido