Endpoint público
Comprobar si xmlrpc.php es accesible públicamente, está restringido o está bloqueado.
Exposición de XML-RPC
XML-RPC es una funcionalidad de comunicación remota de WordPress que permite a servicios y aplicaciones externas interactuar con la web a través de xmlrpc.php. Este check sirve para confirmar si ese endpoint está restringido, bloqueado o sigue accesible públicamente, y si ese estado tiene sentido dentro de la configuración final del sitio.
Por qué es importante
XML-RPC se utilizó durante años para publicación remota e integraciones externas, pero hoy también es un punto habitual de revisión de seguridad en WordPress. Si xmlrpc.php sigue accesible sin una necesidad clara, puede aumentar la superficie de ataque de la web y añadir riesgo innecesario antes de publicar.
Esto importa porque los endpoints XML-RPC expuestos se han relacionado durante mucho tiempo con intentos de fuerza bruta, abuso de pingbacks y otros ataques automatizados. En muchas instalaciones WordPress actuales ya no es una pieza esencial, así que mantener XML-RPC restringido o bloqueado suele ser el estado más prudente por defecto, mientras que dejarlo accesible debería responder a una necesidad técnica consciente.
Qué revisar
Antes de dar este check por correcto, conviene revisar lo siguiente:
Necesidad real
Confirmar si la web necesita realmente XML-RPC para publicación remota o herramientas externas.
Acceso restringido
Revisar si el acceso está bien restringido, bloqueado o se ha dejado disponible de forma intencionada para un caso real.
Exposición por defecto
Asegurarse de que XML-RPC no se ha dejado expuesto por defecto cuando lo normal sería mantenerlo restringido.
Decisión técnica
Si el endpoint sigue activo, confirmar que esa decisión responde a una necesidad técnica real.
Cómo evalúa PreFlight este check
PreFlight solicita el endpoint público XML-RPC y comprueba si está accesible, restringido o bloqueado desde fuera. El objetivo es detectar si xmlrpc.php sigue disponible como parte de la configuración visible de la web o si ya está limitado como cabría esperar.
Este check no decide por ti si XML-RPC debe estar habilitado en todos los casos. Lo que hace es confirmar si el endpoint está restringido por defecto o si se ha dejado accesible por una razón técnica legítima dentro de la seguridad general de la web y de su preparación técnica antes de la entrega.
PASS / WARN / FAIL
XML-RPC está restringido o bloqueado públicamente, o su disponibilidad es intencionada y encaja con una necesidad técnica legítima del proyecto.
El endpoint sigue accesible y puede ser válido para el proyecto, pero conviene revisarlo antes de la entrega porque muchas veces XML-RPC queda activo por defecto cuando lo más razonable sería restringirlo.
XML-RPC está accesible públicamente de una forma que añade riesgo evitable y no hay una indicación clara de que la web lo necesite en producción.
Errores comunes
Dejar xmlrpc.php expuesto por defecto sin comprobar si hace falta.
Pensar que XML-RPC no supone problema solo porque la web ya usa HTTPS.
Olvidar que funciones antiguas como los pingbacks pueden aumentar el riesgo de abuso.
Proteger la fuerza bruta en /wp-login.php pero ignorar XML-RPC como otro punto de acceso.
Tratar XML-RPC como un archivo legacy sin importancia en lugar de un endpoint público activo.
FAQ
Hay que desactivar XML-RPC siempre?
No siempre. Algunas webs todavía lo necesitan para integraciones concretas o flujos de publicación remota, pero en muchas instalaciones WordPress actuales restringirlo o bloquearlo es el estado más prudente cuando no existe una necesidad clara de mantenerlo disponible.
Por qué XML-RPC se considera un riesgo de seguridad?
Porque los endpoints XML-RPC expuestos se han relacionado con intentos de fuerza bruta, abuso de pingbacks y ataques automatizados contra webs WordPress.
Es lo mismo que la REST API?
No. XML-RPC es un mecanismo más antiguo de comunicación remota. En muchas configuraciones actuales de WordPress, la REST API ha sustituido su uso cotidiano.
Verifica tu web WordPress antes de entregarla
Reduce retrabajo, detecta errores de última hora y revisa lo crítico antes de publicar.
Analizar ahora