Se gestisci siti WordPress da qualche anno, è molto probabile che tu abbia già sentito parlare di XML-RPC. Spesso viene citato in guide sulla sicurezza, quasi sempre con un consiglio drastico: “disabilitalo”. La realtà, però, è più articolata e merita di essere compresa a fondo.
XML-RPC è una funzionalità storica di WordPress che nasce con uno scopo preciso e che, in alcuni contesti, è ancora utile. Il problema è che, se lasciata attiva senza protezioni adeguate, può diventare uno dei principali vettori di attacco contro il tuo sito.
In questo articolo vediamo in modo chiaro e tecnico cos’è XML-RPC, quando viene utilizzato davvero e quali rischi comporta se non viene gestito correttamente.
Cos’è XML-RPC e a cosa serve
XML-RPC è un protocollo che consente di eseguire chiamate remote su WordPress tramite richieste HTTP formattate in XML. In pratica permette a sistemi esterni di interagire con il tuo sito senza passare dall’interfaccia web.
Questa tecnologia è nata prima della REST API ed era il metodo principale per pubblicare contenuti da applicazioni esterne, sincronizzare dati o gestire WordPress da client remoti.
/xmlrpc.phpQuesto file è il punto di ingresso delle richieste XML-RPC. Quando riceve una richiesta, WordPress la interpreta ed esegue l’azione richiesta, come autenticare un utente o pubblicare un contenuto.
Quando XML-RPC viene realmente utilizzato
Nonostante sia una tecnologia datata, XML-RPC non è completamente superata. Alcune applicazioni mobile di WordPress o integrazioni legacy possono ancora utilizzarlo per comunicare con il sito.
In contesti più tecnici, può essere impiegato per automazioni personalizzate o sistemi sviluppati su misura. Tuttavia, nella maggior parte dei siti moderni, questa funzionalità non è più necessaria, perché sostituita dalla REST API.
Ed è proprio qui il punto critico: XML-RPC è spesso attivo anche quando non serve.
Perché XML-RPC è un rischio per la sicurezza
Il problema principale è che XML-RPC può essere sfruttato per attacchi brute force molto più efficienti rispetto a quelli tradizionali. Attraverso il metodo system.multicall, un attaccante può inviare centinaia di tentativi di login in una singola richiesta.
Questo rende gli attacchi più difficili da rilevare e più pesanti per il server, aumentando il rischio di compromissione e causando spesso rallentamenti o picchi di CPU.
Un altro scenario riguarda gli attacchi DDoS indiretti, in cui XML-RPC viene utilizzato per generare traffico verso altri sistemi, trasformando il tuo server in un nodo attivo di un attacco distribuito.
Il rischio reale è che tutto questo avvenga senza segnali evidenti, mentre il server continua a gestire richieste malevole in background.
Come verificare se XML-RPC è attivo
Puoi verificare facilmente se XML-RPC è attivo accedendo a questo URL:
https://tuosito.it/xmlrpc.phpSe compare un messaggio che indica che il server accetta richieste POST, significa che XML-RPC è attivo e accessibile.
Quando conviene disabilitarlo
Se il tuo sito non utilizza applicazioni esterne o integrazioni specifiche, disabilitare XML-RPC è la scelta più sicura. Questo vale soprattutto per siti vetrina, blog e WooCommerce gestiti tramite backend standard.
Lasciarlo attivo senza motivo significa aumentare la superficie di attacco senza ottenere alcun beneficio reale.
Come proteggere XML-RPC in modo corretto
La soluzione più efficace è bloccare l’accesso al file xmlrpc.php a livello server. Questo può essere fatto tramite configurazione Apache o firewall.
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>In alternativa, puoi limitare l’accesso solo a determinati IP autorizzati o utilizzare un Web Application Firewall per filtrare il traffico sospetto.
La protezione a livello server è sempre preferibile rispetto a soluzioni basate esclusivamente su plugin.
Un caso reale
In molti server WordPress, XML-RPC è responsabile di un numero elevato di richieste malevole. In un caso reale, un sito WooCommerce mostrava rallentamenti improvvisi dovuti a migliaia di richieste giornaliere su xmlrpc.php.
Dopo aver bloccato l’accesso e applicato regole di sicurezza a livello server, il traffico malevolo è stato ridotto drasticamente e le performance sono tornate stabili.
Conclusione
XML-RPC è una funzionalità utile in passato, ma oggi spesso rappresenta più un rischio che un vantaggio. Se non hai un motivo concreto per mantenerlo attivo, la scelta migliore è disabilitarlo o proteggerlo adeguatamente.
In un contesto in cui gli attacchi automatizzati sono sempre più frequenti, anche una singola superficie esposta può fare la differenza.
Vuoi verificare la sicurezza del tuo WordPress?
Con Tunda IT puoi richiedere un audit tecnico completo per identificare vulnerabilità, configurazioni errate e punti di esposizione reali del tuo sito.
Lascia un commento