{"id":34383,"date":"2020-07-06T01:57:33","date_gmt":"2020-07-06T08:57:33","guid":{"rendered":"https:\/\/kinsta.com\/?p=65020"},"modified":"2025-02-17T15:14:44","modified_gmt":"2025-02-17T14:14:44","slug":"xmlrpc-php","status":"publish","type":"post","link":"https:\/\/kinsta.com\/es\/blog\/xmlrpc-php\/","title":{"rendered":"Una gu\u00eda completa sobre xmlrpc.php en WordPress (\u00bfQu\u00e9 es, riesgos de seguridad, c\u00f3mo desactivarlo?)"},"content":{"rendered":"

La especificaci\u00f3n XML-RPC WordPress se elabor\u00f3 para normalizar la comunicaci\u00f3n entre los diferentes sistemas, lo que significa que las aplicaciones fuera de WordPress (como otras plataformas de blogs<\/a> y clientes de escritorio) pod\u00edan interactuar con WordPress.<\/p>\n

Esta especificaci\u00f3n ha formado parte de WordPress desde su creaci\u00f3n<\/a> e hizo un trabajo muy \u00fatil. Sin ella, WordPress habr\u00eda estado en su propio silo, separado del resto de Internet.<\/p>\n

Sin embargo, xmlrpc.php tiene sus desventajas. Puede introducir vulnerabilidades<\/a> en tu sitio de WordPress y ha sido reemplazado por la REST API de WordPress<\/a>, que hace un trabajo mucho mejor al abrir WordPress a otras aplicaciones.<\/p>\n

En este post, explicaremos qu\u00e9 es xmlrpc.php, por qu\u00e9 debes desactivarlo, y te ayudaremos a identificar si se est\u00e1 ejecutando en tu sitio de WordPress.<\/p>\n

\u00bfListo? \u00a1Vamos a sumergirnos!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

\u00bfQu\u00e9 es xmlrpc.php?<\/h2>\n

XML-RPC es una especificaci\u00f3n que permite la comunicaci\u00f3n entre WordPress y otros sistemas. Lo hizo mediante la normalizaci\u00f3n de esas comunicaciones, utilizando HTTP como mecanismo de transporte y XML como mecanismo de codificaci\u00f3n.<\/p>\n

XML-RPC es anterior a WordPress: estaba presente en el software de blogs b2, que se bifurc\u00f3 para crear WordPress en 2003. El c\u00f3digo del sistema se almacena en un archivo llamado xmlrpc.php<\/strong>, en el directorio ra\u00edz del sitio. Y sigue ah\u00ed, aunque XML-RPC est\u00e1 muy desactualizado.<\/p>\n

En las primeras versiones de WordPress, XML-RPC estaba desactivado por defecto. Pero desde la versi\u00f3n 3.5, ha sido activado por defecto. La raz\u00f3n principal de esto fue permitir que la aplicaci\u00f3n m\u00f3vil de WordPress hable con lainstalaci\u00f3n de WordPress<\/a>.<\/p>\n

Si usaste la aplicaci\u00f3n m\u00f3vil WordPress antes de la versi\u00f3n 3.5, quiz\u00e1s recuerdes haber tenido que habilitar XML-RPC en tu sitio para que la aplicaci\u00f3n pueda publicar contenido. Esto se debe a que la aplicaci\u00f3n no estaba ejecutando el propio WordPress, sino que era una aplicaci\u00f3n separada que se comunicaba con tu sitio de WordPress usando xmlrpc.php.<\/p>\n

Pero no s\u00f3lo se utiliz\u00f3 la aplicaci\u00f3n m\u00f3vil para XML-RPC: tambi\u00e9n se us\u00f3 para permitir la comunicaci\u00f3n entre WordPress y otras plataformas de blogs, permiti\u00f3 trackbacks<\/a> y pingbacks<\/a>, y potenci\u00f3 el plugin Jetpack<\/a> que vincula un sitio autoalojado de WordPress con WordPress.com<\/a>.<\/p>\n

Pero desde que el REST API se integr\u00f3 en el n\u00facleo de WordPress, el archivo xmlrpc.php ya no se utiliza para esta comunicaci\u00f3n. En su lugar, la REST API se utiliza para comunicarse con la aplicaci\u00f3n m\u00f3vil de WordPress, con los clientes de escritorio, con otras plataformas de blogs, con WordPress.com<\/a> (para el plugin Jetpack) y con otros sistemas y servicios. La gama de sistemas con los que la REST API puede interactuar es mucho mayor<\/a> que la permitida por xmlrpc.php. Adem\u00e1s, hay mucha m\u00e1s flexibilidad.<\/p>\n

Debido a que la REST API ha reemplazado a XML-RPC, ahora deber\u00eda desactivar xmlrpc.php en su sitio. Veamos por qu\u00e9.<\/p>\n

\u00bfPor qu\u00e9 deber\u00edas desactivar xmlrpc.php?<\/h2>\n

La raz\u00f3n principal por la que debes desactivar xmlrpc.php en tu sitio de WordPress es porque introduce vulnerabilidades de seguridad<\/a> y puede ser el objetivo de ataques.<\/p>\n

Ahora que XML-RPC ya no es necesario para comunicarse fuera de WordPress, no hay raz\u00f3n para mantenerlo activo. Por eso es prudente hacer tu sitio m\u00e1s<\/a> seguro desactiv\u00e1ndolo.<\/p>\n

Si xmlrpc.php es una responsabilidad de seguridad y ya no hace un trabajo, \u00bfpor qu\u00e9 no ha sido eliminado de WordPress por completo?<\/p><\/blockquote>\n

La raz\u00f3n de esto es porque una de las caracter\u00edsticas clave de WordPress siempre ser\u00e1 la compatibilidad con las versiones anteriores. Si administras bien tu sitio<\/a>, sabr\u00e1s que es esencial mantener actualizado WordPress<\/a>, as\u00ed como cualquier plugin<\/a> o tema<\/a>.<\/p>\n

Pero siempre habr\u00e1 propietarios de sitios web que no quieran o no puedan actualizar su versi\u00f3n de WordPress. Si est\u00e1n ejecutando una versi\u00f3n anterior a la REST API, seguir\u00e1n necesitando acceso a xmlrpc.php.<\/p>\n

Veamos las vulnerabilidades espec\u00edficas con m\u00e1s detalle.<\/p>\n