Cómo deshabilitar XML-RPC en WordPress para una mejor seguridad

Seguridad / Por / 7 de febrero de 2026
WordPress XML‑RPC disable tutorial graphic

XML-RPC es una característica heredada de WordPress que permite el acceso remoto y la administración de su sitio, incluida la publicación desde aplicaciones, Jetpack y la aplicación móvil de WordPress. Si bien fue útil en el pasado, se ha convertido en un riesgo importante para la seguridad, ya que los atacantes frecuentemente lo explotan para intentos de inicio de sesión por fuerza bruta, ataques DDoS e inundaciones de pingback XML-RPC. Deshabilitar XML-RPC es una de las medidas de seguridad más simples y efectivas que puede tomar, especialmente si no utiliza herramientas de publicación remota. En Cope Business, siempre recomendamos desactivar XML-RPC (a menos que sea necesario) durante nuestra servicios de auditoría técnica SEO para reducir la superficie de ataque y mejorar la protección general del sitio.

Esta guía explica por qué debería desactivar XML-RPC, cuándo es seguro hacerlo y tres métodos confiables para desactivarlo en WordPress.

¿Por qué deshabilitar XML-RPC en WordPress?

  • Ataques de fuerza bruta — XML-RPC permite intentos de inicio de sesión ilimitados sin limitación de velocidad.
  • Amplificación DDoS — Los atacantes pueden usar pingbacks para sobrecargar su servidor.
  • Pingback spam — Permite a los spammers enviar spam de trackback automatizado.
  • Legado y no utilizado — La mayoría de los usuarios confían en la API REST (más segura) para el acceso remoto.
  • Rendimiento y seguridad — Deshabilitarlo reduce las solicitudes innecesarias y las posibles vulnerabilidades.

Si utiliza Jetpack, la aplicación móvil de WordPress o la publicación remota, es posible que necesite habilitar XML-RPC; de lo contrario, se recomienda desactivarlo.

Cuándo NO deshabilitar XML-RPC

Mantenlo habilitado solo si usas activamente:

  • Jetpack (algunas funciones requieren XML-RPC)
  • Aplicaciones móviles de WordPress
  • Herramientas de publicación remota (por ejemplo, Windows Live Writer, MarsEdit)
  • Ciertos complementos que se basan en XML-RPC

La mayoría de las alternativas modernas utilizan la API REST, por lo que deshabilitarla es segura para más del 90% de los usuarios.

3 métodos para deshabilitar XML-RPC en WordPress

Método 1: usar un complemento (el más fácil y recomendado)

Los complementos ofrecen desactivación con un solo clic con beneficios de seguridad adicionales.

Complemento recomendado: Desactivar XML-RPC (gratis y sencillo)

  1. Instalar y activar Deshabilitar XML-RPC de Complementos > Agregar nuevo.
  2. Eso es todo: el complemento desactiva inmediatamente todas las solicitudes XML-RPC.
  3. No se necesita configuración: funciona al instante.

Alternativa: Seguridad y firewall de WP todo en uno (gratis): habilite la opción de desactivación XML-RPC en la configuración.

Ventajas: Instantáneo, reversible, agrega capas de seguridad adicionales. Contras: Agrega un complemento más (muy liviano).

Método 2: deshabilitar a través de .htaccess (sin complemento, más confiable)

Este método de Apache bloquea completamente el acceso a xmlrpc.php.

  • Acceda a su sitio a través de FTP o administrador de archivos de hosting.
  • Ubique .htaccess en el directorio raíz (¡primero haga una copia de seguridad!).
  • Agregue este código en la parte superior:
texto# Disable XML-RPC  order deny,allow deny from all
  • Guardar y cargar.
  • Prueba: intente acceder a yourdomain.com/xmlrpc.php; debería ver un error 403 Prohibido.

Nota: Funciona sólo en servidores Apache. Para NGINX, comuníquese con su anfitrión para agregar la regla equivalente.

Método 3: deshabilitar mediante código en funciones.php (personalizado y liviano)

Agregue esto al archivo de funciones de su tema hijo.php o mediante el complemento WPCode:

PHP

add_filter('xmlrpc_enabled', '__return_false');

Esto desactiva XML-RPC de forma completa y segura sin bloquear el archivo.

Ventajas: Sin archivos/complementos adicionales. Contras: Requiere un tema secundario o un complemento de fragmento.

Cómo verificar que XML-RPC esté deshabilitado

  • Visite yourdomain.com/xmlrpc.php; debería devolver 403 o una página en blanco.
  • Utilice herramientas en línea como xmlrpcpingback.com o escáneres de seguridad.
  • Verifique los registros del servidor para ver si hay solicitudes XML-RPC bloqueadas.

Consejos de seguridad adicionales

  • Combine con la limitación de intentos de inicio de sesión (consulte nuestra guía).
  • Habilite 2FA y contraseñas seguras.
  • Mantenga WordPress, temas y complementos actualizados.
  • Utilice un complemento de seguridad como Wordfence para monitorear.

Deshabilitar XML-RPC es una ganancia rápida que reduce significativamente el riesgo.

Pensamientos finales

XML-RPC es una característica heredada que ya no proporciona beneficios significativos para la mayoría de los usuarios; desactivarla es una decisión de seguridad inteligente. Utilice un complemento para simplificar o .htaccess/code para obtener la máxima eficiencia.

Un sitio más seguro es un sitio más rápido y más confiable.

¿Tiene problemas de seguridad o necesita una auditoría completa de seguridad del sitio? Contacte a Cope Business para una consulta técnica gratuita de SEO: protegeremos su sitio de WordPress y lo optimizaremos para lograr rendimiento y tranquilidad.

¿Fue útil este artículo?
No

Publicaciones relacionadas