¿Qué es XML-RPC en WordPress? Cómo Habilitar / Desactivar (Guide)

WordPress / Por / febrero 7, 2026
¿Qué es XML-RPC en WordPress? Cómo Habilitar / Desactivar (Guide)

XML-RPC es una característica integrada de WordPress que permite el acceso remoto a su sitio, permitiendo funcionalidades como la publicación de aplicaciones móviles y integraciones de terceros. Sin embargo, a menudo se considera una responsabilidad de seguridad debido a su vulnerabilidad a los ataques, y muchos expertos recomiendan desactivarla a menos que sea absolutamente necesario. En Cope Business, asesoramos con frecuencia a los clientes para revisar y desactivar XML-RPC durante nuestro servicios técnicos de auditoría de la SEO reducir las superficies de ataque y mejorar la seguridad del sitio sin afectar el rendimiento. Esta guía explica lo que es XML-RPC, sus pros y contras, cuándo utilizarlo, y cómo activar o desactivarlo de forma segura en WordPress.

Ya sea que esté asegurando un nuevo sitio o optimizando uno existente, gestionar XML-RPC es un paso clave de seguridad.

¿Qué es XML-RPC en WordPress?

XML-RPC (Extensible Markup Language – Remote Procedure Call) es un protocolo que permite a las aplicaciones externas interactuar con su sitio de WordPress remotamente. Introducido en WordPress 0.70, fue habilitado por defecto a partir de la versión 3.5. It powers features like:

  • Publicación de la aplicación móvil de WordPress
  • Jetpack connections (stats, backups)
  • Notificaciones Pingback/trackback
  • Publicación remota de aplicaciones de escritorio (por ejemplo, Windows Live Writer)

En esencia, actúa como API para comandos remotos, pero la nueva API REST lo ha reemplazado en gran medida para usos modernos.

Pros y Cons de XML-RPC

Pros

  • Permite la gestión e integraciones remotas (por ejemplo, Jetpack, aplicación móvil).
  • Apoya pingbacks para redes de blogs (aunque raramente se utilizan ahora).
  • Compatibilidad trasera para herramientas heredadas.

Cons

  • Riesgos de seguridad: Vulnerable a ataques de fuerza bruta (intentos de inicio de sesión ilimitado), DDoS (ataques de optimización), e inundaciones de pingback XML-RPC.
  • Dibujo de rendimiento: Puede sobrecargar servidores durante ataques.
  • Desactualizado: REST API es más segura y flexible para la mayoría de las necesidades modernas.
  • Sin límite de tarifas incorporadas: Hace fácil para los bots explotar.

Si no usa funciones remotas, desactivar XML-RPC es muy recomendable para eliminar estos riesgos.

Cuándo habilitar o mantener XML-RPC

Mantenlo habilitado sólo si confías en:

  • Jetpack (algunos módulos lo requieren: ver alternativas).
  • Aplicación móvil de WordPress para publicar.
  • Herramientas de publicación de escritorio Legacy.
  • Notificaciones de Pingback (en 2026).

Para la mayoría de los sitios, la API REST maneja mejor las integraciones modernas — deshabilitar XML-RPC para mejorar la seguridad.

Cómo desactivar RPC XML en WordPress (3 Métodos)

Método 1: Usando un Plugin (Lo más fácil)

Los plugins proporcionan un clic de desactivación.

  1. Instala Desactivar XML-RPC o Todo en One WP Security (gratis).
  2. Activar — bloquea XML-RPC al instante.
  3. En Todo en One WP Security: Ve a WP Security > Firewall Reglas básicas de cortafuegos y habilitar «Deshabilitar XML-RPC».

Pros: Reversible, sin edición de código. Cons: Añade un plugin (muy ligero).

Método 2: Usando código .htaccess (No Plugin, Server-Level)

Para servidores Apache (más hospedaje compartido).

  • Acceso .htaccess vía FTP o administrador de archivos de hosting (¡retroceda primero!).
  • Añada este código:
text# Disable XML-RPC <Files xmlrpc.php> order deny,allow deny from all </Files>
  • Guardar — esto bloquea el acceso a xmlrpc.php.

Prueba visitando susite.com/xmlrpc.php — debe mostrar 403 Forbidden.

Para NGINX: Póngase en contacto con su anfitrión para añadir reglas equivalentes.

Método 3: Uso de funciones.php Code (Lightweight & Customizable)

  • Añadir a las funciones del tema de su hijo.php o a través del plugin WPCode:
PHPadd_filter('xmlrpc_enabled', '__return_false');
  • Esta funcionalidad desactiva XML-RPC sin bloquear el archivo.

Pros: Limpio, sin plugins adicionales.
Cons: Requiere el tema infantil.

Cómo habilitar XML-RPC si es necesario

Si usted debe re-enable:

  • Eliminar el código de desactivación/plugin.
  • WordPress lo permite por defecto — no pasos adicionales.

Pero considere alternativas como REST API para un acceso remoto seguro.

Las mejores prácticas después de desactivar XML-RPC

  • Monitor Logs: Compruebe las solicitudes bloqueadas en los registros del servidor o los plugins de seguridad.
  • Use REST API: Para las integraciones modernas (por ejemplo, Jetpack ahora lo apoya).
  • Seguridad adicional: Activar 2FA, limitar los logins (ver nuestro guíausa cortafuegos.
  • Verificación de rendimiento: Disabling reduce la carga innecesaria — mejoras de velocidad de prueba.
  • Alternativas para las características: Use WP REST API para aplicaciones; desactivar pingbacks por separado si es necesario.

Desactivar XML-RPC puede reducir los intentos de ataque de 70–90 sitios vulnerables% on.

Pensamientos finales

XML-RPC es una característica heredada con más riesgos que beneficios: desactivar es una inteligente y rápida victoria de seguridad para la mayoría de los sitios de WordPress. Utilice un plugin para la simplicidad o código para el control — de cualquier manera, su sitio será más seguro.

La seguridad es fundamental para la SEO y la confianza.

¿Necesita ayuda para desactivar XML-RPC, realizar una auditoría de seguridad completa, o optimizar su sitio WordPress? Contacto Cope Business para una consulta técnica gratuita de SEO — aseguraremos su sitio y mejoraremos su rendimiento.

¿Fue útil este artículo?
No

Puestos relacionados