Kenapa xmlrpc.php WordPress Selalu Jadi Target Serangan?
- account_circle SaidWP - Blog
- calendar_month Selasa, 1 Jul 2025
- visibility 1.123
- comment 0 komentar
- print Cetak
info Atur ukuran teks artikel ini untuk mendapatkan pengalaman membaca terbaik.
Kalau kamu udah lama pakai WordPress, pasti pernah denger soal file xmlrpc.php. Mau websitenya kosong, isinya dummy, atau sudah live produksi—file ini selalu aja disamperin bot dan attacker. Kenapa bisa begitu, padahal kadang kita sendiri gak pakai fitur ini?
Di artikel ini, kita bahas tuntas alasan xmlrpc.php WordPress jadi incaran, dan gimana cara aman menanganinya.
Apa Itu xmlrpc.php WordPress?
xmlrpc.php adalah file bawaan WordPress yang digunakan untuk komunikasi jarak jauh. Misalnya:
- Posting artikel lewat aplikasi WordPress mobile
- Sinkronisasi dengan Jetpack
- Mengelola komentar secara remote
Semua itu dilakukan lewat XML-RPC (Remote Procedure Call berbasis XML).Tapi masalahnya? File ini sering terbuka default tanpa proteksi tambahan. Dan di situlah awal mula petaka.
Kenapa xmlrpc.php WordPress Jadi Target Serangan?
1. Bisa Dipakai Buat Login
File ini bisa dipakai buat login ke WordPress tanpa lewat /wp-login.php. Jadi attacker bisa brute-force login tanpa ketahuan plugin keamanan biasa.
2. Dukung Brute-Force Massal
Fitur system.multicall di dalam xmlrpc.php bisa kirim banyak permintaan sekaligus dalam satu kali POST. Ibaratnya, bot bisa nyerang 500 password dalam satu tembakan.
3. Dipakai Buat DDoS Website Lain
Ada fitur bernama pingback.ping yang sering disalahgunakan buat DDoS. Caranya? Bot nyuruh puluhan ribu situs WordPress ngirim request ke target yang sama. Hasilnya: server target down, dan kamu gak sadar situsmu ikut jadi zombie DDoS.
4. Sumber Enum Username
Bot bisa tebak-tebakan username dari sini. Kalau berhasil nebak admin, lanjut deh brute force password.
5. Gak Terlindungi CAPTCHA & Rate Limit
Berbeda dengan wp-login.php, di xmlrpc.php:
- Gak bisa pakai CAPTCHA
- Gak ada limit percobaan login
- Gak semua plugin keamanan ngeblok ini
🔍 Kenapa Situs Kosong Juga Diserang?
Karena yang nyerang bukan manusia. Ini kerja bot otomatis yang:
- Scan semua situs acak
- Cek ada xmlrpc.php atau gak
- Langsung coba brute force atau pingback exploit
Mereka gak peduli isi webmu. Bahkan domain kosong tapi pakai WordPress tetap kena.
🛡️ Cara Mengamankan xmlrpc.php WordPress
🔒 1. Nonaktifkan Jika Gak Dipakai
Kalau kamu gak pakai Jetpack atau aplikasi mobile WordPress, blok aja file ini. Di Nginx:
location = /xmlrpc.php {
deny all;
}Atau di .htaccess Apache:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>2. Gunakan Plugin Khusus
Contohnya:
- Disable XML-RPC
- Wordfence (setting: disable XML-RPC authentication)
🔐 3. Pakai WAF
Kalau server kamu kuat, tambahkan Web Application Firewall (WAF) seperti:
- Imunify360
- Cloudflare (page rule khusus /xmlrpc.php)
Haruskah Dimatikan Selamanya?
Kalau kamu gak pakai fitur XML-RPC, ya matikan saja. Tapi kalau Jetpack, app mobile, atau plugin tertentu butuh ini, kamu bisa:
- Bolehkan akses hanya dari IP tertentu
- Tetap aktifkan tapi log semua aktivitasnya
Penutup
xmlrpc.php WordPress memang fitur lama, tapi justru karena itulah jadi pintu masuk yang banyak dilupakan. Jangan sampai jadi celah buat serangan brutal cuma gara-gara satu file gak penting buatmu.
Kalau kamu butuh bantuan setup VPS, bikin landing page, bikin web, set up keamanan WordPress, hardening, audit keamanan website kamu, dan mengatasi masalah WordPress, aku bisa bantuin.
👉 Cek layanan lengkapnya di sini:
- Penulis: SaidWP - Blog
Saat ini belum ada komentar