{"id":38057,"date":"2020-07-06T02:23:52","date_gmt":"2020-07-06T09:23:52","guid":{"rendered":"https:\/\/kinsta.com\/?p=65020"},"modified":"2023-08-22T05:59:32","modified_gmt":"2023-08-22T08:59:32","slug":"xmlrpc-php","status":"publish","type":"post","link":"https:\/\/kinsta.com\/pt\/blog\/xmlrpc-php\/","title":{"rendered":"Um Guia Completo Sobre xmlrpc.php no WordPress (O que \u00e9, Riscos de Seguran\u00e7a e Como Desativ\u00e1-lo)"},"content":{"rendered":"

A especifica\u00e7\u00e3o XML-RPC WordPress foi desenvolvida para padronizar a comunica\u00e7\u00e3o entre diferentes sistemas, significando que aplica\u00e7\u00f5es fora do WordPress (tais como outras plataformas de blogs<\/a> e clientes desktop) poderiam interagir com o WordPress.<\/p>\n

Esta especifica\u00e7\u00e3o faz parte do WordPress desde sua cria\u00e7\u00e3o<\/a> e fez um trabalho muito \u00fatil. Sem ela, o WordPress estaria em seu pr\u00f3prio silo, separado do resto da Internet.<\/p>\n

Entretanto, o xmlrpc.php tem seus pontos negativos. Ele pode introduzir vulnerabilidades<\/a> ao seu site WordPress e agora foi substitu\u00eddo pelo WordPress REST API<\/a>, que faz um trabalho muito melhor de abrir o WordPress para outras aplica\u00e7\u00f5es.<\/p>\n

Neste post, vamos explicar o que \u00e9 xmlrpc.php, por que voc\u00ea deve desativ\u00e1-lo e ajud\u00e1-lo a identificar se ele est\u00e1 rodando em seu site WordPress.<\/p>\n

Pronto? Vamos mergulhar!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

O que \u00e9 xmlrpc.php?<\/h2>\n

XML-RPC \u00e9 uma especifica\u00e7\u00e3o que permite a comunica\u00e7\u00e3o entre o WordPress e outros sistemas. Ele fez isso padronizando essas comunica\u00e7\u00f5es, usando HTTP como mecanismo de transporte e XML como mecanismo de codifica\u00e7\u00e3o.<\/p>\n

XML-RPC \u00e9 anterior ao WordPress: ele estava presente no software de blog b2, que foi bifurcado para criar o WordPress em 2003. O c\u00f3digo por tr\u00e1s do sistema \u00e9 armazenado em um arquivo chamado xmlrpc.php<\/strong>, no diret\u00f3rio raiz do site. E ainda est\u00e1 l\u00e1, mesmo que o XML-RPC esteja largamente desatualizado.<\/p>\n

Nas primeiras vers\u00f5es do WordPress, o XML-RPC foi desativado por padr\u00e3o. Mas desde a vers\u00e3o 3.5, ele foi habilitado por padr\u00e3o. A principal raz\u00e3o para isto era permitir que o aplicativo m\u00f3vel WordPress falasse com sua instala\u00e7\u00e3o do WordPress<\/a>.<\/p>\n

Se voc\u00ea usou o aplicativo m\u00f3vel WordPress antes da vers\u00e3o 3.5, voc\u00ea pode se lembrar de ter que habilitar o XML-RPC em seu site para que o aplicativo possa postar conte\u00fado. Isto porque o aplicativo n\u00e3o estava rodando o WordPress em si; ao inv\u00e9s disso, era um aplicativo separado que se comunicava com seu site WordPress usando xmlrpc.php.<\/p>\n

Mas n\u00e3o foi apenas para o aplicativo m\u00f3vel que o XML-RPC foi usado: ele tamb\u00e9m foi usado para permitir a comunica\u00e7\u00e3o entre WordPress e outras plataformas de blogs, ele permitiu trackbacks<\/a> e pingbacks<\/a>, e alimentou o plugin Jetpack<\/a> que liga um site WordPress auto-hospedado ao WordPress.com<\/a>.<\/p>\n

Mas como o REST API foi integrado ao n\u00facleo do WordPress, o arquivo xmlrpc.php n\u00e3o \u00e9 mais utilizado para esta comunica\u00e7\u00e3o. Em vez disso, a REST API \u00e9 usada para se comunicar com o aplicativo m\u00f3vel WordPress, com clientes desktop, com outras plataformas de blogs, com WordPress.com<\/a> (para o plugin Jetpack) e com outros sistemas e servi\u00e7os. A gama de sistemas com os quais a REST API pode interagir \u00e9 muito maior<\/a> do que a permitida pelo xmlrpc.php. Al\u00e9m disso, h\u00e1 muito mais flexibilidade.<\/p>\n

Como o REST API substituiu o XML-RPC, voc\u00ea deve agora desativar o xmlrpc.php em seu site. Vamos ver por qu\u00ea.<\/p>\n

Por que voc\u00ea deve desativar o xmlrpc.php<\/h2>\n

A principal raz\u00e3o pela qual voc\u00ea deve desativar o xmlrpc.php em seu site WordPress \u00e9 porque ele introduz vulnerabilidades de seguran\u00e7a<\/a> e pode ser o alvo de ataques.<\/p>\n

Agora que o XML-RPC n\u00e3o \u00e9 mais necess\u00e1rio para se comunicar fora do WordPress, n\u00e3o h\u00e1 raz\u00e3o para mant\u00ea-lo ativo. \u00c9 por isso que \u00e9 s\u00e1bio tornar seu site mais<\/a> seguro, desativando-o.<\/p>\n

Se o xmlrpc.php \u00e9 uma obriga\u00e7\u00e3o de seguran\u00e7a e n\u00e3o faz mais um trabalho, por que ele n\u00e3o foi removido do WordPress por completo?<\/p><\/blockquote>\n

A raz\u00e3o para isto \u00e9 porque uma das principais caracter\u00edsticas do WordPress ser\u00e1 sempre a retrocompatibilidade. Se voc\u00ea estiver gerenciando bem seu site<\/a>, voc\u00ea saber\u00e1 que manter o WordPress atualizado<\/a>, assim como quaisquer plugins<\/a> ou temas<\/a>, \u00e9 essencial.<\/p>\n

Mas sempre haver\u00e1 propriet\u00e1rios de websites que n\u00e3o est\u00e3o dispostos ou n\u00e3o podem atualizar sua vers\u00e3o do WordPress. Se eles estiverem rodando uma vers\u00e3o anterior \u00e0 REST API, ainda precisar\u00e3o ter acesso ao xmlrpc.php.<\/p>\n

Vamos analisar as vulnerabilidades espec\u00edficas com mais detalhes.<\/p>\n