No ecossistema WordPress, o recurso XML-RPC existe há anos e, embora tenha sido criado para facilitar integrações e automações externas, ele também se tornou um vetor comum para ataques cibernéticos. Entender como funciona e como afeta a segurança de um site WordPress é essencial para qualquer organização que dependa da plataforma para fins corporativos ou comerciais.
O que é XML-RPC?
XML-RPC (Remote Procedure Call) é uma API baseada em XML que permite que aplicações externas se comuniquem com o WordPress. Ele foi introduzido na plataforma para permitir ações como:
- Publicar posts remotamente;
- Gerenciar comentários;
- Editar conteúdos;
- Fazer upload de arquivos;
- Autenticar usuários e recuperar dados.
Por exemplo, aplicativos móveis oficiais do WordPress utilizam XML-RPC para que usuários possam publicar conteúdos e gerenciar o site sem precisar acessar o painel diretamente.
Por que o XML-RPC representa um risco?
Apesar da sua utilidade em algumas aplicações, o XML-RPC tem sido amplamente explorado por cibercriminosos devido à sua estrutura e permissividade. As principais ameaças associadas incluem:
1. Ataques de força bruta via system.multicall
Essa função permite agrupar múltiplas chamadas em uma única requisição. Hackers a utilizam para tentar centenas de combinações de login e senha em um único pedido, contornando mecanismos de bloqueio por tentativa.
2. DDoS por pingback
Outra função, o pingback.ping, pode ser explorada para transformar sites WordPress em parte de um ataque de negação de serviço (DDoS) contra terceiros. Isso ocorre quando o XML-RPC é usado para forçar o site a enviar múltiplas requisições para outros alvos.
3. Bypass de autenticação
Se o XML-RPC estiver mal configurado ou combinado com plugins vulneráveis, ele pode ser usado para contornar sistemas de autenticação ou acessar áreas restritas sem passar pelos controles padrões.
A função ainda é necessária?
Na maioria dos casos, não. A REST API, introduzida oficialmente no WordPress 4.7, substituiu grande parte das funcionalidades do XML-RPC de forma mais segura e flexível. Para a maioria dos sites atuais, o XML-RPC está ativado por padrão, mas raramente é necessário.
Entretanto, algumas aplicações específicas — como integrações com softwares antigos ou determinados plugins — ainda dependem dessa funcionalidade. Portanto, antes de desativá-lo, é recomendável revisar se há dependências ativas.
Como mitigar os riscos do XML-RPC?
Para proteger seu site WordPress contra abusos do XML-RPC, considere as seguintes ações:
- Desativar XML-RPC se não for usado
Plugins como Disable XML-RPC permitem desligar essa função com segurança. - Restringir acesso via firewall
Configure um firewall de aplicação (WAF) para bloquear requisições ao arquivo xmlrpc.php, especialmente de IPs suspeitos. - Bloquear métodos específicos
Algumas ferramentas de segurança permitem bloquear apenas métodos perigosos como system.multicall ou pingback.ping, mantendo os demais ativos se forem realmente necessários. - Monitorar tentativas de login e chamadas XML-RPC
Ferramentas de segurança devem registrar e alertar sobre acessos incomuns ou volume elevado de requisições XML-RPC. - Habilitar autenticação em dois fatores (2FA)
Mesmo que um atacante consiga passar pela primeira camada via XML-RPC, a 2FA adiciona uma barreira adicional.
Conclusão
O XML-RPC é um recurso antigo e, para muitos, obsoleto no ecossistema WordPress atual. Ainda que ofereça funcionalidades legítimas, seu uso sem controle pode transformar qualquer site em alvo ou vetor de ataque.
A avaliação do seu uso e o controle rigoroso sobre essa interface são passos importantes para manter um ambiente WordPress seguro. A decisão entre desativar, restringir ou monitorar o XML-RPC deve considerar o contexto da aplicação e os riscos envolvidos.