¿Qué es XML-RPC en WordPress? Cómo habilitarlo/deshabilitarlo (guía)

Wordpress / Por / 7 de febrero de 2026
What is XML-RPC in WordPress? How to Enable/Disable It (Guide)

XML-RPC es una característica incorporada de WordPress que permite el acceso remoto a su sitio, habilitando funcionalidades como la publicación de aplicaciones móviles e integraciones de terceros. Sin embargo, a menudo se considera un problema de seguridad debido a su vulnerabilidad a los ataques, y muchos expertos recomiendan desactivarlo a menos que sea absolutamente necesario. En Cope Business, frecuentemente aconsejamos a los clientes que revisen y deshabiliten XML-RPC durante nuestra servicios de auditoría técnica SEO para reducir las superficies de ataque y mejorar la seguridad del sitio sin afectar el rendimiento. Esta guía explica qué es XML-RPC, sus ventajas y desventajas, cuándo usarlo y cómo habilitarlo o deshabilitarlo de forma segura en WordPress.

Ya sea que esté protegiendo un sitio nuevo u optimizando uno existente, administrar XML-RPC es un paso de seguridad clave.

¿Qué es XML-RPC en WordPress?

XML-RPC (Lenguaje de marcado extensible – Llamada a procedimiento remoto) es un protocolo que permite que aplicaciones externas interactúen con su sitio de WordPress de forma remota. Introducido en WordPress 0.70, estuvo habilitado de forma predeterminada a partir de la versión 3.5. Impulsa funciones como:

  • Publicar desde la aplicación móvil de WordPress
  • Conexiones Jetpack (estadísticas, copias de seguridad)
  • Notificaciones de pingback/trackback
  • Publicación remota desde aplicaciones de escritorio (por ejemplo, Windows Live Writer)

En esencia, actúa como una API para comandos remotos, pero la API REST más nueva la ha reemplazado en gran medida para usos modernos.

Pros y contras de XML-RPC

Ventajas

  • Permite la gestión remota y las integraciones (por ejemplo, Jetpack, aplicación móvil).
  • Admite pingbacks para redes de blogs (aunque rara vez se usa ahora).
  • Compatibilidad con versiones anteriores de herramientas heredadas.

Contras

  • Riesgos de seguridad: Vulnerable a ataques de fuerza bruta (intentos de inicio de sesión ilimitados), DDoS (ataques de amplificación) y inundaciones de pingback XML-RPC.
  • Drenaje de rendimiento: Puede sobrecargar los servidores durante los ataques.
  • Anticuado: REST API es más segura y flexible para la mayoría de las necesidades modernas.
  • Sin limitación de velocidad incorporada: Facilita la explotación por parte de los bots.

Si no utiliza funciones remotas, se recomienda encarecidamente desactivar XML-RPC para eliminar estos riesgos.

Cuándo habilitar o mantener XML-RPC

Mantenlo habilitado solo si confías en:

  • Jetpack (algunos módulos lo requieren; consulte las alternativas).
  • Aplicación móvil de WordPress para publicar.
  • Herramientas de autoedición heredadas.
  • Notificaciones de pingback (poco común en 2026).

Para la mayoría de los sitios, la API REST maneja mejor las integraciones modernas: desactive XML-RPC para mejorar la seguridad.

Cómo deshabilitar XML RPC en WordPress (3 métodos)

Método 1: usar un complemento (el más fácil)

Los complementos proporcionan deshabilitación con un solo clic.

  1. Instalar Deshabilitar XML-RPC o Seguridad WP todo en uno (gratis).
  2. Activar: bloquea XML-RPC al instante.
  3. En All in One WP Security: Ir a Seguridad de WP > Cortafuegos > Reglas básicas del cortafuegos y habilite "Desactivar XML-RPC".

Ventajas: Reversible, sin edición de código. Contras: Agrega un complemento (muy liviano).

Método 2: usar código .htaccess (sin complemento, a nivel de servidor)

Para servidores Apache (la mayoría de hosting compartido).

  • Acceda a .htaccess a través de FTP o administrador de archivos de alojamiento (¡primero haga una copia de seguridad!).
  • Añade este código:
texto# Disable XML-RPC  order deny,allow deny from all
  • Guardar: esto bloquea el acceso a xmlrpc.php.

Pruebe visitando yoursite.com/xmlrpc.php; debería mostrar 403 Prohibido.

Para NGINX: comuníquese con su anfitrión para agregar reglas equivalentes.

Método 3: uso del código funciones.php (ligero y personalizable)

  • Agregue al archivo funciones.php de su tema hijo o mediante el complemento WPCode:
PHPadd_filter('xmlrpc_enabled', '__return_false');
  • Esto deshabilita la funcionalidad XML-RPC sin bloquear el archivo.

Ventajas: Limpio, sin complementos adicionales.
Contras: Requiere tema secundario.

Cómo habilitar XML-RPC si es necesario

Si debe volver a habilitar:

  • Elimine el código/complemento de desactivación.
  • WordPress lo habilita de forma predeterminada, sin pasos adicionales.

Pero considere alternativas como REST API para un acceso remoto seguro.

Mejores prácticas después de deshabilitar XML-RPC

  • Monitorear registros: busque solicitudes bloqueadas en los registros del servidor o complementos de seguridad.
  • Utilice la API REST: Para integraciones modernas (por ejemplo, Jetpack ahora lo admite).
  • Seguridad adicional: habilite 2FA, limite los inicios de sesión (consulte nuestra guía), utilice cortafuegos.
  • Comprobación de rendimiento: La desactivación reduce la carga innecesaria: mejoras en la velocidad de prueba.
  • Alternativas para funciones: Utilice la API REST de WP para aplicaciones; deshabilite los pingbacks por separado si es necesario.

Deshabilitar XML-RPC puede reducir los intentos de ataque entre un 70% y un 90% en sitios vulnerables.

Pensamientos finales

XML-RPC es una característica heredada con más riesgos que beneficios; deshabilitarla es una victoria de seguridad rápida e inteligente para la mayoría de los sitios de WordPress. Utilice un complemento para simplificar o un código para controlar; de cualquier manera, su sitio será más seguro.

La seguridad es fundamental para el SEO y la confianza.

¿Necesita ayuda para desactivar XML-RPC, realizar una auditoría de seguridad completa u optimizar su sitio de WordPress? Contacte a Cope Business para una consulta técnica gratuita de SEO: protegeremos su sitio y mejoraremos su rendimiento.

¿Fue útil este artículo?
No

Publicaciones relacionadas