{"id":37829,"date":"2020-07-06T02:07:41","date_gmt":"2020-07-06T09:07:41","guid":{"rendered":"https:\/\/kinsta.com\/?p=65020"},"modified":"2023-06-21T10:58:50","modified_gmt":"2023-06-21T09:58:50","slug":"xmlrpc-php","status":"publish","type":"post","link":"https:\/\/kinsta.com\/it\/blog\/xmlrpc-php\/","title":{"rendered":"Guida Completa a xmlrpc.php di WordPress (Cos’\u00e8, i Rischi per la Sicurezza e Come Disattivarlo)"},"content":{"rendered":"

La specifica XML-RPC di WordPress \u00e8 stata sviluppata per standardizzare la comunicazione tra diversi sistemi, il che significa che le applicazioni al di fuori di WordPress (come altre piattaforme di blogging<\/a> e client desktop) possono interagire con lo stesso WordPress.<\/p>\n

Questa specifica \u00e8 stata parte di WordPress fin dalla sua nascita<\/a> e ha svolto un lavoro molto utile. Senza di essa, WordPress sarebbe stato nel suo silo, separato dal resto di internet.<\/p>\n

Tuttavia, xmlrpc.php ha i suoi lati negativi. Pu\u00f2 introdurre delle vulnerabilit\u00e0<\/a> nel vostro sito WordPress ed \u00e8 stata ora sostituita dalla REST API di WordPress<\/a>, che fa un lavoro molto migliore nell’aprire WordPress ad altre applicazioni.<\/p>\n

In questo articolo, vi spiegheremo cos’\u00e8 xmlrpc.php e perch\u00e9 dovreste disabilitarlo, e vi aiuteremo ad capire se \u00e8 in esecuzione sul vostro sito WordPress.<\/p>\n

Pronti? Cominciamo!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Cos’\u00c8 xmlrpc.php?<\/h2>\n

XML-RPC \u00e8 una specifica che consente la comunicazione tra WordPress e altri sistemi. \u00c8 stato possibile farlo standardizzando tali comunicazioni, utilizzando HTTP come meccanismo di trasporto e XML come meccanismo di codifica.<\/p>\n

XML-RPC \u00e8 antecedente a WordPress: era presente nel software di blogging b2, da cui \u00e8 nato il fork di WordPress nel 2003. Il codice che sta dietro il sistema \u00e8 memorizzato in un file chiamato xmlrpc.php<\/strong>, nella directory principale del sito. Ed \u00e8 ancora l\u00ec, anche se XML-RPC \u00e8 in gran parte obsoleto.<\/p>\n

Nelle prime versioni di WordPress, di default XML-RPC era disattivato. Ma dalla versione 3.5, \u00e8 stato abilitato di default. Il motivo principale era quello di permettere all’applicazione mobile di WordPress di dialogare con l’installazione di WordPress<\/a>.<\/p>\n

Se avete utilizzato l’applicazione mobile di WordPress prima della versione 3.5, potreste ricordare di aver dovuto abilitare XML-RPC sul vostro sito per permettere all’applicazione di pubblicare contenuti. Questo perch\u00e9 l’app non utilizzava WordPress in s\u00e9, ma era un’app separata che comunicava con il vostro sito WordPress utilizzando xmlrpc.php.<\/p>\n

Ma non \u00e8 stata utilizzata solo l’applicazione mobile per l’XML-RPC: \u00e8 stata utilizzata anche per consentire la comunicazione tra WordPress e altre piattaforme di blogging, ha abilitato i trackback<\/a> e i pingback<\/a>, e ha alimentato il plugin Jetpack<\/a>, che collega un sito WordPress autoospitato a WordPress.com<\/a>.<\/p>\n

Ma, da quando l’API REST \u00e8 stata integrata nel core di WordPress, il file xmlrpc.php non viene pi\u00f9 utilizzato per questa comunicazione. Al suo posto viene invece utilizzata l’API REST per comunicare con l’applicazione mobile di WordPress, con i client desktop, con altre piattaforme di blogging, con WordPress.com<\/a> (per il plugin Jetpack) e con altri sistemi e servizi. La gamma di sistemi con cui le REST API possono interagire \u00e8 molto pi\u00f9 ampia<\/a> di quella consentita da xmlrpc.php. Inoltre, c’\u00e8 molta pi\u00f9 flessibilit\u00e0.<\/p>\n

Dato che l’API REST ha sostituito XML-RPC, ora si dovrebbe disabilitare xmlrpc.php sul proprio sito. Vediamo perch\u00e9.<\/p>\n

Perch\u00e9 si Dovrebbe Disabilitare xmlrpc.php<\/h2>\n

Il motivo principale per cui si dovrebbe disabilitare xmlrpc.php sul proprio sito WordPress \u00e8 perch\u00e9 questo introduce vulnerabilit\u00e0 nella sicurezza<\/a> e pu\u00f2 essere bersaglio di attacchi.<\/p>\n

Ora che XML-RPC non \u00e8 pi\u00f9 necessario per comunicare al di fuori di WordPress, non c’\u00e8 pi\u00f9 motivo di tenerlo attivo. Ecco perch\u00e9 \u00e8 saggio rendere il vostro sito pi\u00f9 sicuro<\/a> disabilitandolo.<\/p>\n

Se xmlrpc.php \u00e8 una vulnerabilit\u00e0 di sicurezza e non svolge pi\u00f9 un lavoro utile, perch\u00e9 non \u00e8 stato eliminato del tutto da WordPress?<\/p><\/blockquote>\n

Il motivo \u00e8 che una delle caratteristiche chiave di WordPress sar\u00e0 sempre la compatibilit\u00e0 a ritroso. Se gestite bene il vostro sito<\/a>, saprete che mantenere WordPress aggiornato<\/a>, cos\u00ec come aggiornare regolarmente qualsiasi plugin<\/a> o tema<\/a>, \u00e8 essenziale.<\/p>\n

Ma ci saranno sempre proprietari di siti web che non vogliono o non possono aggiornare la loro versione di WordPress. Se hanno in esecuzione una versione precedente alla REST API, avranno comunque bisogno di accedere a xmlrpc.php.<\/p>\n

Vediamo le vulnerabilit\u00e0 specifiche pi\u00f9 dettagliatamente.<\/p>\n