Uptime: 99.892%
Strony WWW:
Nowe strony WWW dzisiaj:
100 000 Użytkowników w SEOHOST. To dzięki Wam! Czytaj więcej W SEOHOST Użytkownik jest zawsze na pierwszym miejscu! Czytaj więcej Z SEOHOST korzysta już ponad 90 000 Użytkowników! Czytaj więcej Jak Polacy marnują 164 miliony rocznie! Czytaj więcej Pierwszy taki film na YouTube od SEOHOST! Czytaj więcej Pełna transparencja: uptime naszej infrastruktury Czytaj więcej Wywiad z naszym CEO na bezprawnik.pl Czytaj więcej SEOHOST.pl zdobywa 2 miejsce w rankingu NASK. Czytaj więcej Uwaga: kolejna próba phishingu! Czytaj więcej Dlaczego warto migrować do SEOHOST? Czytaj więcej
Menu
Załóż konto
Strona główna / Pomoc / WordPress / Co to jest xmlrpc.php?
Redakcja SEOHOST.pl
Redakcja SEOHOST.pl
09 Marca 2026
3 minuty

Co to jest xmlrpc.php?

Jeśli masz stronę na WordPressie, plik xmlrpc.php najpewniej już na niej jest — nawet jeśli nigdy go nie używałeś. Jest to element instalacji WordPressa, który obsługuje protokół XML-RPC, umożliwiając zdalną komunikację z systemem CMS za pomocą zewnętrznych aplikacji. Choć kiedyś był kluczowy, dziś bywa przestarzały i często wykorzystywany przez hakerów do ataków typu brute-force lub DDoS.

Plik xmlrpc.php to jeden z najczęściej atakowanych punktów w WordPress — i jeden z pierwszych, który zabezpieczamy na naszych serwerach. Sprawdź hosting zoptymalizowany pod WordPress lub skorzystaj z administracji serwerami — zadbamy o xmlrpc i resztę konfiguracji za Ciebie.

Co to jest xmlrpc.php? Do czego służy?

Plik xmlrpc.php znajduje się w głównym katalogu WordPressa i działa od bardzo wczesnych wersji systemu (ok. 2003 r.). Pozwala na interakcję z innymi platformami, umożliwiając zdalne zarządzanie treścią bez konieczności logowania się bezpośrednio do panelu administracyjnego przez przeglądarkę.

W praktyce pozwala on na:

  • Publikowanie wpisów z aplikacji mobilnych (iOS/Android).
  • Automatyzację tworzenia treści przez zewnętrzne narzędzia.
  • Obsługę mechanizmów pingback oraz trackback.
  • Integrację z usługami takimi jak Jetpack (w starszych konfiguracjach).

Z drugiej strony, jeśli Twoja strona nie korzysta z aplikacji mobilnej ani specyficznych automatyzacji opartych o ten protokół, utrzymywanie go w stanie aktywnym zazwyczaj nie ma merytorycznego uzasadnienia.

Ryzyka bezpieczeństwa

Plik ten jest jednym z najczęstszych celów ataków botów. Problem polega na tym, że mechanizm XML-RPC pozwala na tzw. wielowywołania (system system.multicall). Dzięki temu haker może sprawdzić setki haseł w jednym żądaniu HTTP, co czyni ataki brute-force znacznie skuteczniejszymi niż przy klasycznym ekranie logowania.

Kolejnym zagrożeniem są ataki DDoS wykorzystujące funkcję pingback. Boty mogą nakazać Twojemu serwerowi wysyłanie sygnałów do innej strony, co w dużej skali prowadzi do przeciążenia infrastruktury – zarówno Twojej, jak i celu ataku. Jeśli nie potrzebujesz tych funkcji, Twoja strona będzie bezpieczniejsza i lżejsza po ich wyłączeniu.

Jak wyłączyć xmlrpc.php?

Najskuteczniejszą metodą jest zablokowanie dostępu do pliku na poziomie serwera. W przypadku hostingu opartego na serwerze Apache, możesz to zrobić edytując plik .htaccess w głównym katalogu strony.

Dodaj poniższy kod na samym początku pliku:

<Files xmlrpc.php> order deny,allow deny from all </Files>

Powyższy zapis całkowicie odcina dostęp do pliku dla wszystkich użytkowników i botów. Jeśli jednak wolisz prostsze rozwiązania, możesz skorzystać z wtyczek:

  • Disable XML-RPC – prosta wtyczka, która robi dokładnie to, co sugeruje nazwa.
  • Perfmatters lub WP Rocket – zaawansowane wtyczki do optymalizacji, które mają opcję wyłączenia XML-RPC w swoich ustawieniach.

Pamiętaj, że po wyłączeniu tego mechanizmu, oficjalna aplikacja mobilna WordPress może przestać działać poprawnie. Jeśli z niej korzystasz, rozważ ograniczenie dostępu tylko do swojego adresu IP zamiast całkowitej blokady.

Czy udało Ci się rozwiązać problem?
Nie znalazłeś odpowiedzi na swoje pytanie?