¿Qué soporte técnico ofrece PlatiniumHost?

Soporte técnico 24/7 en español, inglés, francés e italiano. Nivel 3 especializado en cPanel, WHMCS, configuración DNS, SSL y migración de hosting.

¿Cuál es el tiempo de respuesta del soporte?

Soporte inmediato vía ticket, chat y WhatsApp. Respuesta garantizada en menos de 1 hora.

¿Aceptan pagos desde Venezuela?

Sí. Aceptamos Zelle, Binance Pay, Zinli, PayPal y tarjetas de crédito internacionales. Precios en USD con tipo de cambio BCV.

Desactivar XML-RPC en WordPress para mayor seguridad

📅 15/06/2026 ⏱ 5 min de lectura

Escrito por

Luis Contreras · CEO & Fundador · +24 años en hosting

Desactivar XML-RPC en WordPress para mayor seguridad

XML-RPC es una interfaz de programación de aplicaciones (API) que permite la comunicación entre WordPress y otras aplicaciones o servicios externos. Aunque en el pasado fue fundamental para funciones como la publicación remota desde clientes de escritorio o la integración con servicios de terceros, hoy en día ha sido ampliamente superado por la API REST de WordPress. Lamentablemente, XML-RPC se ha convertido en un vector común para ataques de seguridad, incluyendo ataques de fuerza bruta y de denegación de servicio (DDoS).

En este artículo, exploraremos qué es XML-RPC, por qué es una vulnerabilidad y cómo puedes desactivarlo en tu sitio de WordPress para mejorar su seguridad, especialmente si eres cliente de PlatiniumHost y buscas mantener tu sitio protegido.

¿Qué es XML-RPC en WordPress?

XML-RPC (XML Remote Procedure Call) es un protocolo que permite a programas de diferentes sistemas operativos comunicarse de forma remota. En el contexto de WordPress, esto significaba que podías publicar entradas, gestionar comentarios o interactuar con tu sitio desde aplicaciones externas a través de una conexión HTTP y el formato XML. Por ejemplo, clientes de escritorio como MarsEdit o aplicaciones móviles antiguas utilizaban XML-RPC para interactuar con tu blog.

¿Por qué deberías desactivar XML-RPC?

La principal razón para desactivar XML-RPC es la seguridad. Aunque tiene usos legítimos, su diseño lo hace susceptible a varios tipos de ataques:

Ataques de Fuerza Bruta: Los atacantes pueden usar XML-RPC para intentar miles de combinaciones de usuario y contraseña en una sola solicitud, evadiendo algunas de las protecciones contra ataques de fuerza bruta que se aplican a la página de inicio de sesión estándar de WordPress.
Ataques de Denegación de Servicio (DDoS): XML-RPC puede ser explotado para realizar ataques de amplificación DDoS, donde un atacante utiliza tu sitio para inundar otro con tráfico, o incluso para sobrecargar tu propio servidor con solicitudes maliciosas.
Vulnerabilidades de Explotación: A lo largo de los años, se han descubierto varias vulnerabilidades en la implementación de XML-RPC que podrían permitir a los atacantes ejecutar código arbitrario o acceder a información sensible.

Dado que la mayoría de los sitios modernos de WordPress ya no necesitan XML-RPC (la API REST lo ha reemplazado para la mayoría de las integraciones), desactivarlo es una medida de seguridad proactiva y altamente recomendable.

Cómo desactivar XML-RPC en WordPress

Existen varias maneras de desactivar XML-RPC, desde la más sencilla utilizando un plugin hasta métodos más avanzados editando archivos del servidor. Elige el método que mejor se adapte a tu nivel de comodidad.

Método 1: Usar un Plugin de WordPress

Esta es la forma más sencilla y recomendada para la mayoría de los usuarios, especialmente si no te sientes cómodo editando archivos de código.

Accede al panel de administración de tu WordPress.
Ve a 'Plugins' > 'Añadir nuevo'.
En la barra de búsqueda, escribe 'Disable XML-RPC'.
Busca un plugin como 'Disable XML-RPC' (por Philip Erb) o 'iThemes Security' (que incluye esta función entre otras).
Haz clic en 'Instalar ahora' y luego en 'Activar'.
Muchos de estos plugins funcionan de inmediato sin necesidad de configuración adicional, o tienen una opción sencilla para desactivar XML-RPC.

Tip: Si utilizas un plugin de seguridad completo como Wordfence o iThemes Security, revisa sus configuraciones, ya que a menudo incluyen una opción para desactivar o proteger XML-RPC.

Método 2: Desactivar XML-RPC editando el archivo .htaccess

Este método es más técnico y se recomienda para usuarios con conocimientos básicos de gestión de archivos de servidor. Deberás acceder a los archivos de tu sitio a través del cPanel de PlatiniumHost.

Importante: Antes de editar el archivo .htaccess, siempre haz una copia de seguridad. Un error en este archivo puede hacer que tu sitio sea inaccesible.

Inicia sesión en tu cuenta de cPanel de PlatiniumHost.
Busca y haz clic en 'Administrador de Archivos' (File Manager).
Navega hasta el directorio raíz de tu instalación de WordPress (usualmente `public_html` o un subdirectorio si tienes varias instalaciones).
Localiza el archivo `.htaccess`. Si no lo ves, asegúrate de que la opción 'Mostrar archivos ocultos' esté activada en la configuración del Administrador de Archivos.
Haz clic derecho sobre `.htaccess` y selecciona 'Editar'.
Añade el siguiente código al final del archivo:

# Bloquear XML-RPC
<IfModule mod_alias.c>
RedirectMatch 403 /xmlrpc.php
</IfModule>

Este código redirigirá todas las solicitudes a `xmlrpc.php` a un error 403 Forbidden, bloqueando eficazmente el acceso.

Guarda los cambios en el archivo.

Método 3: Desactivar XML-RPC editando el archivo functions.php

Este método también implica editar código, pero a nivel de WordPress. Es menos recomendable que el método `.htaccess` porque las actualizaciones de tema pueden sobrescribir tus cambios si no usas un tema hijo.

Importante: Siempre haz una copia de seguridad de tu archivo functions.php antes de editarlo. Es aún mejor usar un tema hijo para añadir este código, así tus cambios no se perderán con las actualizaciones del tema principal.

Inicia sesión en tu cuenta de cPanel de PlatiniumHost.
Busca y haz clic en 'Administrador de Archivos'.
Navega hasta `public_html/wp-content/themes/nombre-de-tu-tema/`.
Localiza el archivo `functions.php`.
Haz clic derecho sobre `functions.php` y selecciona 'Editar'.
Añade el siguiente código al final del archivo, antes del cierre de la etiqueta `?>` si existe (aunque en WordPress moderno no es estrictamente necesario):

add_filter('xmlrpc_enabled', '__return_false');

Guarda los cambios.

Verificar que XML-RPC está desactivado

Después de aplicar cualquiera de los métodos anteriores, es crucial verificar que XML-RPC ha sido desactivado correctamente:

Intenta acceder directamente a `tu-dominio.com/xmlrpc.php` en tu navegador. Si ves un error 403 Forbidden (si usaste el método .htaccess) o simplemente una página en blanco/error 404, es una buena señal. Si aún ves un mensaje como "XML-RPC server accepts POST requests only.", significa que no se ha desactivado por completo.
Usa una herramienta online de validación de XML-RPC. Hay varios sitios web que te permiten introducir la URL de tu sitio y verificar el estado de XML-RPC. Si la herramienta indica que no puede contactar al servidor o que XML-RPC no está habilitado, lo has logrado.

Conclusión

Desactivar XML-RPC es una medida de seguridad simple pero efectiva que puede proteger tu sitio de WordPress contra ataques comunes de fuerza bruta y DDoS. Dada la disponibilidad de la API REST de WordPress para la mayoría de las integraciones modernas, la necesidad de XML-RPC es mínima para la mayoría de los usuarios.

Al implementar esta recomendación, junto con otras buenas prácticas de seguridad como el uso de contraseñas fuertes, actualizaciones regulares y un servicio de hosting fiable como PlatiniumHost, puedes mantener tu sitio de WordPress mucho más seguro y protegido.