WordPress dikenal sebagai platform CMS yang fleksibel dan kaya fitur. Namun, di balik kemudahan tersebut, ada beberapa celah keamanan yang sering dimanfaatkan oleh penyerang—salah satunya adalah fitur XML-RPC.
Meskipun XML-RPC memiliki manfaat tertentu, banyak pemilik situs memilih untuk menonaktifkan XML-RPC di WordPress demi keamanan. Artikel ini akan membahas secara lengkap apa itu XML-RPC, kenapa bisa menjadi risiko, dan bagaimana cara menonaktifkannya untuk meningkatkan WordPress security.
Apa Itu XML-RPC di WordPress?
XML-RPC adalah protokol komunikasi yang memungkinkan aplikasi pihak ketiga untuk berinteraksi dengan WordPress secara remote. Fitur ini aktif secara default sejak WordPress 3.5, dan memungkinkan berbagai fungsi seperti:
-
Publikasi artikel via aplikasi mobile
-
Integrasi dengan layanan eksternal (misalnya IFTTT, Jetpack)
-
Trackback dan pingback
-
Autentikasi jarak jauh
Secara teknis, XML-RPC memanfaatkan file xmlrpc.php di root direktori WordPress.
Kenapa XML-RPC Bisa Menjadi Ancaman?
Walaupun berguna, XML-RPC sering disalahgunakan oleh hacker karena protokol ini:
🔓 1. Memungkinkan Brute Force Login Massal
Berbeda dengan halaman login biasa yang satu per satu, XML-RPC memungkinkan ribuan kombinasi username dan password dalam satu permintaan.
🔁 2. Dapat Digunakan untuk DDoS (Pingback Abuse)
XML-RPC memungkinkan pingback dari situs lain, yang bisa dimanfaatkan untuk mengirim permintaan berulang ke situs target (Distributed Denial of Service).
🎯 3. Target Populer untuk Bot
Bot otomatis sering memindai dan mengakses xmlrpc.php sebagai titik masuk serangan.
Jadi, jika kamu tidak menggunakan layanan yang membutuhkan XML-RPC, lebih baik dinonaktifkan demi keamanan WordPress.
Apakah Situs Kamu Menggunakan XML-RPC?
Sebelum menonaktifkan XML-RPC, pastikan kamu benar-benar tidak membutuhkannya. XML-RPC digunakan jika:
-
Kamu mengelola situs WordPress melalui aplikasi mobile
-
Menggunakan plugin seperti Jetpack (mode koneksi jarak jauh)
-
Menggunakan layanan integrasi otomatis seperti IFTTT atau Zapier
Jika tidak menggunakan hal-hal di atas, aman untuk menonaktifkan XML-RPC.
Cara Menonaktifkan XML-RPC di WordPress
Ada beberapa metode yang bisa kamu gunakan untuk menonaktifkan XML-RPC. Pilih yang paling sesuai dengan kebutuhanmu.
✅ 1. Menonaktifkan XML-RPC dengan Plugin
Ini adalah cara paling mudah, tanpa perlu coding.
Plugin Rekomendasi:
-
Disable XML-RPC
-
Disable XML-RPC Pingback
-
Wordfence Security (fitur tambahan dari plugin keamanan)
Langkah-langkah:
-
Masuk ke Dashboard WordPress
-
Klik Plugins > Add New
-
Cari “Disable XML-RPC”
-
Klik Install Now dan Activate
-
Selesai! File
xmlrpc.phpkini sudah tidak bisa diakses
Plugin ini akan secara otomatis memblokir semua permintaan ke xmlrpc.php tanpa menghapus file fisiknya.
⚙️ 2. Menonaktifkan XML-RPC via File .htaccess
Jika kamu ingin cara manual dan lebih ringan, kamu bisa menambahkan aturan di file .htaccess. Ini hanya berlaku untuk server Apache.
Langkah-langkah:
-
Buka file
.htaccessdi root folder WordPress -
Tambahkan kode berikut:
-
Simpan dan upload ulang jika menggunakan FTP
Setelah itu, coba akses domainmu.com/xmlrpc.php, dan seharusnya akan muncul pesan error “403 Forbidden” atau “Access Denied”.
🔒 3. Nonaktifkan XML-RPC Menggunakan Functions.php
Metode ini cocok jika kamu familiar dengan kode PHP.
Langkah-langkah:
-
Buka file
functions.phpdi tema yang aktif -
Tambahkan kode berikut di akhir file:
-
Simpan dan reload situs
Kode ini akan menonaktifkan fitur XML-RPC dari sisi fungsi internal WordPress, tanpa mengubah file fisik.
Catatan: Jika kamu mengganti tema, pastikan menambahkan kode ini lagi di tema baru.
Cara Mengecek XML-RPC Sudah Dinonaktifkan
Kamu bisa mengeceknya dengan beberapa cara:
1. Akses langsung:
Coba buka https://domainmu.com/xmlrpc.php
Jika muncul pesan seperti 403 Forbidden atau “XML-RPC services are disabled on this site”, berarti berhasil.
2. Gunakan Tools Online:
-
https://xmlrpc.eritreo.it/
Masukkan URL website kamu dan cek apakah XML-RPC aktif atau tidak.
Dampak Menonaktifkan XML-RPC
✅ Kelebihan:
-
Meningkatkan keamanan WordPress
-
Mencegah brute force dan pingback attack
-
Mengurangi beban server dari permintaan tidak sah
❌ Kekurangan:
-
Tidak bisa login via aplikasi mobile WordPress
-
Jetpack atau plugin remote lainnya bisa tidak berfungsi
-
Integrasi otomatis pihak ketiga bisa gagal
Jika kamu masih membutuhkan beberapa fungsi dari XML-RPC, kamu bisa hanya menonaktifkan pingback saja tanpa memblokir seluruh akses XML-RPC.
Alternatif: Gunakan REST API
WordPress modern sudah punya REST API sebagai pengganti XML-RPC. REST API lebih aman, fleksibel, dan banyak digunakan oleh plugin serta integrasi aplikasi saat ini.
Jadi, jika kamu masih memakai XML-RPC untuk otomasi atau integrasi, pertimbangkan migrasi ke REST API.
Tips Tambahan untuk WordPress Security
Selain menonaktifkan XML-RPC, berikut beberapa langkah keamanan lain yang bisa kamu terapkan:
-
🔐 Gunakan Two-Factor Authentication (2FA)
-
🚫 Batasi percobaan login dengan plugin seperti Limit Login Attempts Reloaded
-
👀 Sembunyikan halaman login dengan WPS Hide Login
-
🔍 Instal plugin keamanan seperti Wordfence atau iThemes Security
-
💾 Backup rutin menggunakan UpdraftPlus atau BlogVault
Keamanan WordPress bukan hanya soal satu langkah, tapi kombinasi dari berbagai strategi pencegahan.
Kesimpulan
XML-RPC adalah fitur lawas WordPress yang seringkali tidak dibutuhkan di zaman sekarang. Jika tidak digunakan, menonaktifkan XML-RPC adalah keputusan cerdas untuk memperkuat WordPress security dan menghindari risiko serangan.
Cara Menonaktifkan:
-
Gunakan plugin (paling mudah)
-
Tambahkan kode di
.htaccess(untuk Apache) -
Tambahkan filter PHP di
functions.php(untuk pengguna menengah)
Langkah sederhana ini bisa mengurangi celah keamanan yang sering dimanfaatkan oleh bot dan hacker.
Sudah siap mengamankan website WordPress-mu? Jangan tunda lagi, nonaktifkan XML-RPC sekarang dan buat situsmu lebih tangguh! 💪🔐
