XML-RPC WordPressadalah celah keamanan yang sering dieksploitasi hacker untuk melancarkan serangan brute force dan DDoS. Jika Anda mengelola server hosting dengan WHM, Anda bisa nonaktifkan XML-RPC WordPress secara total untuk semua user sekaligus — tanpa harus masuk satu per satu ke tiapcPanel.
Artikel ini menjelaskan cara nonaktifkan XML-RPC WordPress lewat WHM, lengkap dan mudah dipahami.
Apa Itu XML-RPC WordPress?
XML-RPC adalah protokol komunikasi jarak jauh yang memungkinkan pengguna mengelola WordPress dari luar dashboard. Fitur ini aktif secara default melalui file xmlrpc.php di root WordPress.
Meskipun berguna untuk koneksi remote, XML-RPC sering disalahgunakan untuk:
- Serangan brute force — hacker mencoba ribuan kombinasi password
- Serangan DDoS — memanfaatkan fitur pingback untuk membanjiri server
- Eksploitasi akses — mengakses situs tanpa login ke dashboard
- Sejak WordPress versi 4.x ke atas, fitur ini hampir tidak diperlukan kecuali Anda menggunakan Jetpack atau aplikasi mobile WordPress.
Mengapa Harus Dinonaktifkan via WHM?
Menonaktifkan XML-RPC dari WHM memberikan keuntungan:
- Berlaku untuk semua user — tidak perlu konfigurasi per akun cPanel
- Level server — proteksi lebih kuat dibanding plugin WordPress
- Efisien — cukup dilakukan sekali oleh admin server
Cara Nonaktifkan Global Pada WHM
Untuk menonaktifkan XML-RPC secara global melalui WHM, kamu bisa masuk ke menu:
WHM / Home / Service Configuration / Apache Configuration / Include Editor / Pre Main Include
Lalu pilih All Versions dan tambahkan kode dibawah ini, kemudian save dan restart webserver
<IfModule mod_alias.c>
RedirectMatch 301 /xmlrpc.php http://127.0.0.1/
</IfModule>Kode diatas adalah untuk melakukan redirect xmlrpc menuju ip address user tersebut / memaksa redirect ke localhost visitor.
Kesimpulan
Nonaktifkan XML-RPC WordPress via WHM adalah langkah penting untuk mengamankan semua situs WordPress di server Anda sekaligus. Dengan metode Apache Include Editor, Anda cukup melakukan konfigurasi satu kali dan berlaku untuk seluruh akun user.
Langkah singkatnya:
WHM → Apache Configuration → Include Editor → Pre Main Include → All Versions → tambah kode blokir → Update → Restart Apache.
Proteksi server Anda sekarang sebelum hacker menyerang lebih dulu.
