{"id":6152,"date":"2025-07-01T06:48:56","date_gmt":"2025-06-30T23:48:56","guid":{"rendered":"https:\/\/saidwp.com\/blog\/?p=6152"},"modified":"2025-07-08T06:51:20","modified_gmt":"2025-07-07T23:51:20","slug":"xmlrpc-wordpress-serangan","status":"publish","type":"post","link":"https:\/\/saidwp.com\/blog\/panduan\/xmlrpc-wordpress-serangan\/","title":{"rendered":"Kenapa xmlrpc.php WordPress Selalu Jadi Target Serangan?"},"content":{"rendered":"\n

Kalau kamu udah lama pakai WordPress, pasti pernah denger soal file xmlrpc.php<\/a>. Mau websitenya kosong, isinya dummy, atau sudah live produksi\u2014file ini selalu aja disamperin bot dan attacker. Kenapa bisa begitu, padahal kadang kita sendiri gak pakai fitur ini?<\/p>\n\n\n\n

Di artikel ini, kita bahas tuntas alasan xmlrpc.php WordPress jadi incaran, dan gimana cara aman menanganinya.<\/p>\n\n\n\n

Apa Itu xmlrpc.php WordPress?<\/strong><\/h2>\n\n\n\n

xmlrpc.php adalah file bawaan WordPress yang digunakan untuk komunikasi jarak jauh. Misalnya:<\/p>\n\n\n\n

    \n
  • Posting artikel lewat aplikasi WordPress mobile
    <\/li>\n\n\n\n
  • Sinkronisasi dengan Jetpack
    <\/li>\n\n\n\n
  • Mengelola komentar secara remote
    <\/li>\n<\/ul>\n\n\n\n
    \"xmlrpc.php<\/figure>\n\n\n\n

    Semua itu dilakukan lewat XML-RPC (Remote Procedure Call berbasis XML).Tapi masalahnya? File ini sering terbuka default<\/strong> tanpa proteksi tambahan. Dan di situlah awal mula petaka.<\/p>\n\n\n\n

    Kenapa <\/strong>xmlrpc.php WordPress<\/strong> Jadi Target Serangan?<\/strong><\/h2>\n\n\n\n

    1. Bisa Dipakai Buat Login<\/strong><\/h3>\n\n\n\n

    File ini bisa dipakai buat login ke WordPress tanpa lewat \/wp-login.php. Jadi attacker bisa brute-force login tanpa ketahuan plugin keamanan biasa.<\/p>\n\n\n\n

    2. Dukung Brute-Force Massal<\/strong><\/h3>\n\n\n\n

    Fitur system.multicall di dalam xmlrpc.php bisa kirim banyak permintaan sekaligus dalam satu kali POST. Ibaratnya, bot bisa nyerang 500 password dalam satu tembakan.<\/p>\n\n\n\n

    3. Dipakai Buat DDoS Website Lain<\/strong><\/h3>\n\n\n\n

    Ada fitur bernama pingback.ping yang sering disalahgunakan buat DDoS. Caranya? Bot nyuruh puluhan ribu situs WordPress ngirim request ke target yang sama. Hasilnya: server target down, dan kamu gak sadar situsmu ikut jadi zombie DDoS.<\/p>\n\n\n\n

    4. Sumber Enum Username<\/strong><\/h3>\n\n\n\n

    Bot bisa tebak-tebakan username dari sini. Kalau berhasil nebak admin, lanjut deh brute force password.<\/p>\n\n\n\n

    5. Gak Terlindungi CAPTCHA & Rate Limit<\/strong><\/h3>\n\n\n\n

    Berbeda dengan wp-login.php, di xmlrpc.php:<\/p>\n\n\n\n

      \n
    • Gak bisa pakai CAPTCHA
      <\/li>\n\n\n\n
    • Gak ada limit percobaan login
      <\/li>\n\n\n\n
    • Gak semua plugin keamanan ngeblok ini
      <\/li>\n<\/ul>\n\n\n\n

      \ud83d\udd0d Kenapa Situs Kosong Juga Diserang?<\/strong><\/h2>\n\n\n\n

      Karena yang nyerang bukan manusia. Ini kerja bot otomatis yang:<\/p>\n\n\n\n

        \n
      • Scan semua situs acak
        <\/li>\n\n\n\n
      • Cek ada xmlrpc.php atau gak
        <\/li>\n\n\n\n
      • Langsung coba brute force atau pingback exploit
        <\/li>\n<\/ul>\n\n\n\n

        Mereka gak peduli isi webmu. Bahkan domain kosong tapi pakai WordPress tetap kena.<\/p>\n\n\n\n

        \ud83d\udee1\ufe0f Cara Mengamankan <\/strong>xmlrpc.php WordPress<\/strong><\/h2>\n\n\n\n

        \ud83d\udd12 1. Nonaktifkan Jika Gak Dipakai<\/strong><\/h3>\n\n\n\n

        Kalau kamu gak pakai Jetpack atau aplikasi mobile WordPress, blok aja file ini. Di Nginx:<\/strong><\/p>\n\n\n\n

        Bash<\/span>