Kenapa xmlrpc.php WordPress Selalu Jadi Target Serangan?

Kalau kamu udah lama pakai WordPress, pasti pernah denger soal file xmlrpc.php. Mau websitenya kosong, isinya dummy, atau sudah live produksi—file ini selalu aja disamperin bot dan attacker. Kenapa bisa begitu, padahal kadang kita sendiri gak pakai fitur ini?

Di artikel ini, kita bahas tuntas alasan xmlrpc.php WordPress jadi incaran, dan gimana cara aman menanganinya.

Apa Itu xmlrpc.php WordPress?

xmlrpc.php adalah file bawaan WordPress yang digunakan untuk komunikasi jarak jauh. Misalnya:

• Posting artikel lewat aplikasi WordPress mobile
  
• Sinkronisasi dengan Jetpack
  
• Mengelola komentar secara remote
  

Semua itu dilakukan lewat XML-RPC (Remote Procedure Call berbasis XML).Tapi masalahnya? File ini sering terbuka default tanpa proteksi tambahan. Dan di situlah awal mula petaka.

Kenapa xmlrpc.php WordPress Jadi Target Serangan?

1. Bisa Dipakai Buat Login

File ini bisa dipakai buat login ke WordPress tanpa lewat /wp-login.php. Jadi attacker bisa brute-force login tanpa ketahuan plugin keamanan biasa.

2. Dukung Brute-Force Massal

Fitur system.multicall di dalam xmlrpc.php bisa kirim banyak permintaan sekaligus dalam satu kali POST. Ibaratnya, bot bisa nyerang 500 password dalam satu tembakan.

3. Dipakai Buat DDoS Website Lain

Ada fitur bernama pingback.ping yang sering disalahgunakan buat DDoS. Caranya? Bot nyuruh puluhan ribu situs WordPress ngirim request ke target yang sama. Hasilnya: server target down, dan kamu gak sadar situsmu ikut jadi zombie DDoS.

4. Sumber Enum Username

Bot bisa tebak-tebakan username dari sini. Kalau berhasil nebak admin, lanjut deh brute force password.

5. Gak Terlindungi CAPTCHA & Rate Limit

Berbeda dengan wp-login.php, di xmlrpc.php:

• Gak bisa pakai CAPTCHA
  
• Gak ada limit percobaan login
  
• Gak semua plugin keamanan ngeblok ini
  

🔍 Kenapa Situs Kosong Juga Diserang?

Karena yang nyerang bukan manusia. Ini kerja bot otomatis yang:

• Scan semua situs acak
  
• Cek ada xmlrpc.php atau gak
  
• Langsung coba brute force atau pingback exploit
  

Mereka gak peduli isi webmu. Bahkan domain kosong tapi pakai WordPress tetap kena.

🛡️ Cara Mengamankan xmlrpc.php WordPress

🔒 1. Nonaktifkan Jika Gak Dipakai

Kalau kamu gak pakai Jetpack atau aplikasi mobile WordPress, blok aja file ini. Di Nginx:

location = /xmlrpc.php {
    deny all;
}

location = /xmlrpc.php {
    deny all;
}

Atau di .htaccess Apache:

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

 2. Gunakan Plugin Khusus

Contohnya:

• Disable XML-RPC
• Wordfence (setting: disable XML-RPC authentication)
  

🔐 3. Pakai WAF

Kalau server kamu kuat, tambahkan Web Application Firewall (WAF) seperti:

• Imunify360
• Cloudflare (page rule khusus /xmlrpc.php)

Haruskah Dimatikan Selamanya?

Kalau kamu gak pakai fitur XML-RPC, ya matikan saja. Tapi kalau Jetpack, app mobile, atau plugin tertentu butuh ini, kamu bisa:

• Bolehkan akses hanya dari IP tertentu
  
• Tetap aktifkan tapi log semua aktivitasnya

Penutup

xmlrpc.php WordPress memang fitur lama, tapi justru karena itulah jadi pintu masuk yang banyak dilupakan. Jangan sampai jadi celah buat serangan brutal cuma gara-gara satu file gak penting buatmu.

Kalau kamu butuh bantuan setup VPS, bikin landing page, bikin web, set up keamanan WordPress, hardening, audit keamanan website kamu, dan mengatasi masalah WordPress, aku bisa bantuin.

👉 Cek layanan lengkapnya di sini:

– Order Jasa SaidWP –