xmlrpc.php adalah sebuah file yang terdapat dalam sistem WordPress yang memungkinkan komunikasi antara situs WordPress dengan aplikasi atau layanan eksternal menggunakan protokol XML-RPC (XML Remote Procedure Call).
Fungsi xmlrpc.php di WordPress:
-
Remote Publishing – Memungkinkan pengguna untuk mempublikasikan atau mengelola konten WordPress dari aplikasi eksternal (seperti aplikasi mobile atau desktop).
-
Integrasi dengan Layanan Lain – Beberapa plugin dan layanan (seperti Jetpack, Pingback, dan Trackback) menggunakan
xmlrpc.phpuntuk berkomunikasi dengan WordPress. -
API untuk Developer – Menyediakan antarmuka bagi developer untuk mengontrol WordPress secara terprogram.
Masalah Keamanan xmlrpc.php:
-
Serangan Brute Force – File ini bisa digunakan untuk mencoba menebak username dan password WordPress.
-
DDoS (Distributed Denial of Service) – Beberapa serangan dapat memanfaatkan
xmlrpc.phpuntuk membebani server. -
Eksploitasi Kerentanan – Jika ada celah keamanan di WordPress,
xmlrpc.phpbisa menjadi pintu masuk serangan.
Cara Menonaktifkan xmlrpc.php (Jika Tidak Dibutuhkan):
conf milik domain kamu, misalnya di bagian paling bawah sebelum </virtualHost> (kalau ada), atau sebelum include paling akhir:1. Tambahkan ke File Conf
allowBrowse 0
denyAccess 1
}
2. Restart OpenLiteSpeed
Via aaPanel:
-
Masuk aaPanel > App Store > OpenLiteSpeed
-
Klik tombol Restart
Atau via SSH:
3. Cek Lagi
Buka kembali: https://yogijuliyanto.web.id/xmlrpc.php
Kalau berhasil diblokir, kamu akan melihat:
-
403 Forbidden atau 404 Not Found
-
Tidak menampilkan pesan “XML-RPC server accepts POST requests only”
Kesimpulan:
Jika kamu tidak menggunakan fitur remote publishing atau layanan yang membutuhkan XML-RPC, disarankan untuk menonaktifkannya demi keamanan. Jika kamu menggunakan Jetpack atau layanan lain yang bergantung pada xmlrpc.php, pastikan untuk mengamankannya dengan firewall atau plugin keamanan.
