Wyłączenie XML-RPC - bezpieczeństwo WordPress

Co to:
- Remote Procedure Call protokół
- Plik: /xmlrpc.php
- Pozwala zdalnie: publikować, edytować, zarządzać

Używane przez:
- Jetpack (synchronizacja z WP.com)
- Aplikacja mobilna WordPress
- Zewnętrzne edytory (MarsEdit, Windows Live Writer)
- Pingback/Trackback

Zagrożenia:
- Brute force: wielokrotne próby logowania jednym requestem
- Pingback DDoS: Twoja strona jako źródło ataku
- Fingerprinting: informacje o instalacji

Czy możesz wyłączyć:
- Nie używasz Jetpack? → tak
- Nie używasz apki mobilnej? → tak
- Nie potrzebujesz pingbacków? → tak
- Większość stron może bezpiecznie wyłączyć

Disable XML-RPC:
- Wtyczki → Disable XML-RPC
- Aktywuj i gotowe
- Zwraca 403 dla xmlrpc.php

Disable XML-RPC-API:
- Bardziej granularna kontrola
- Możesz wyłączyć tylko pingback
- Zachować inne funkcje

Wordfence:
- Firewall → Brute Force Protection
- Opcja blokowania XML-RPC
- W ramach istniejącego security

Całkowita blokada:

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Blokada z wyjątkami (Jetpack):

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
    Allow from 192.0.64.0/18
    Allow from 122.248.245.244
</Files>

Blokada pingback (zachowaj resztę):
- Wymaga wtyczki lub kodu
- .htaccess blokuje wszystko albo nic

W functions.php:

Wyłącz całkowicie:

add_filter('xmlrpc_enabled', '__return_false');

Wyłącz tylko pingback:

add_filter('xmlrpc_methods', function($methods) {
    unset($methods['pingback.ping']);
    unset($methods['pingback.extensions.getPingbacks']);
    return $methods;
});

Usuń header X-Pingback:

add_filter('wp_headers', function($headers) {
    unset($headers['X-Pingback']);
    return $headers;
});

Wyłącz self-pingback:

add_action('pre_ping', function(&$links) {
    $home = get_option('home');
    foreach ($links as $l => $link) {
        if (0 === strpos($link, $home)) {
            unset($links[$l]);
        }
    }
});