HomeBlogging & SEOXML-RPC क्या है और WordPress में इसे सुरक्षित तरीके से कैसे Disable...

XML-RPC क्या है और WordPress में इसे सुरक्षित तरीके से कैसे Disable करें?

Jiya
By Jiya
XML-RPC क्या है और WordPress में इसे सुरक्षित तरीके से कैसे Disable करें
XML-RPC क्या है और WordPress में इसे सुरक्षित तरीके से कैसे Disable करें

आज के समय में WordPress Security हर वेबसाइट ओनर की सबसे बड़ी चिंता है। अगर आपकी साइट WordPress पर बनी है तो आपने XML-RPC (Extensible Markup Language Remote Procedure Call) के बारे में ज़रूर सुना होगा। यह एक ऐसा फीचर है जो आपकी वेबसाइट को बाहरी एप्लिकेशन या सर्विस से कनेक्ट करने में मदद करता है।

WordPress दुनिया का सबसे पॉपुलर CMS है और लाखों वेबसाइटें इसी पर चलती हैं। लेकिन जितनी बड़ी कम्युनिटी और यूज़र्स होंगे, उतने ही सुरक्षा खतरे (Security Threats) भी सामने आते हैं। इसी लिस्ट में एक बड़ा टारगेट है XML-RPC.php फाइल

कई सालों से हैकर्स XML-RPC का दुरुपयोग करके Brute Force Login Attacks, DDoS हमले और Spam Pingbacks करते आ रहे हैं। यही कारण है कि हर वेबसाइट एडमिन के लिए XML-RPC को Disable करना जरूरी बन जाता है।

लेकिन ध्यान देने वाली बात यह है कि यही फीचर कई बार हैकर्स और बॉट्स के लिए बैकडोर बन जाता है। Brute Force Attacks और DDoS जैसी समस्याएं ज़्यादातर XML-RPC के ज़रिए ही होती हैं। इसीलिए बहुत से WordPress Experts इसकी सलाह देते हैं कि अगर आपको XML-RPC की ज़रूरत नहीं है तो इसे Disable कर देना चाहिए।

इस गाइड में हम विस्तार से समझेंगे:

  • XML-RPC क्या है और इसे क्यों बंद करना चाहिए?
  • XML-RPC को Disable करने के अलग-अलग तरीके (Server-level, Code, Plugin)
  • कब पूरी तरह Disable करें और कब Partial
  • Disable करने के बाद कैसे टेस्ट करें
  • Extra Security Tips

XML-RPC क्या है?

XML-RPC एक पुरानी API है जिसे WordPress में Remote Communication के लिए बनाया गया था। इसका काम था XML फॉर्मेट में डेटा भेजना/पढ़ना और HTTP प्रोटोकॉल के जरिए साइट से कनेक्ट करना।

इसका उपयोग मुख्य रूप से:

  • WordPress Mobile App से कंटेंट पब्लिश करने के लिए
  • Jetpack Plugin और अन्य रिमोट सर्विसेज़ के लिए
  • कुछ पुराने SEO और पब्लिशिंग टूल्स के लिए किया जाता है।

लेकिन समय के साथ WordPress में REST API आ गई, जिसने XML-RPC की जरूरत लगभग खत्म कर दी।
👉 यह भी पढ़ें: DeepSeek क्या है? AI मॉडल और लोगो के खास राज़ की पूरी जानकारी

XML-RPC क्यों खतरनाक है?

XML-RPC का सबसे बड़ा खतरा हैकर्स के लिए इसका इस्तेमाल आसान होना।

  1. Brute Force Attacks
    • Hackers xmlrpc.php पर हजारों Login Requests भेजते हैं और एक ही Request में कई यूज़रनेम-पासवर्ड कॉम्बिनेशन ट्राई कर सकते हैं।
  2. DDoS हमले
    • Pingback फीचर का दुरुपयोग करके XML-RPC को लाखों रिक्वेस्ट से फ्लड किया जाता है जिससे साइट डाउन हो सकती है।
  3. Server Load
    • XML-RPC का गलत इस्तेमाल सर्वर पर अनावश्यक लोड डालता है और साइट स्लो कर देता है।

इसलिए यदि आपको Jetpack या WordPress App की जरूरत नहीं है, तो XML-RPC को पूरी तरह Disable करना सबसे बेहतर Security Step है।

XML-RPC को Disable करने के सुरक्षित तरीके

तरीका 1: .htaccess से पूरी तरह ब्लॉक (Apache/LiteSpeed Servers)

अगर आपका होस्टिंग Apache या LiteSpeed पर चल रहा है तो .htaccess में नीचे का कोड डालें:

# Block xmlrpc.php file completely
<Files "xmlrpc.php">
    Require all denied
</Files>

इससे कोई भी यूज़र, बॉट या स्क्रिप्ट xmlrpc.php को Access नहीं कर पाएगा।

अगर आप किसी Trusted IP (जैसे आपकी खुद की API Service) को Allow करना चाहते हैं:

<Files "xmlrpc.php">
    Require all denied
    Require ip 203.0.113.25
</Files>

तरीका 2: Nginx Server पर XML-RPC ब्लॉक करना

Nginx यूज़र्स अपने server block (site config) में यह Rule डाल सकते हैं:

location = /xmlrpc.php {
    deny all;
    return 444;
}

यह Rule किसी भी XML-RPC Request को Reject कर देगा। return 444 से Connection सीधे Drop हो जाएगा, जिससे Server Resource भी नहीं खर्च होंगे।

तरीका 3: WordPress Filter से Disable करना (सॉफ्ट मेथड)

अगर आप Server Files को Edit नहीं करना चाहते तो WordPress में Code Snippet डालकर भी XML-RPC Disable कर सकते हैं।

पूरी तरह Disable करने के लिए:

// Disable XML-RPC completely
add_filter('xmlrpc_enabled', '__return_false');

केवल Pingback Method Disable करने के लिए (Jetpack/App चलेंगे):

// Block only Pingback requests
add_filter('xmlrpc_methods', function($methods) {
    unset($methods['pingback.ping']);
    return $methods;
});

HTTP Headers से Pingback URL हटाने के लिए:

// Remove X-Pingback header
add_filter('wp_headers', function($headers) {
    unset($headers['X-Pingback']);
    return $headers;
});

तरीका 4: Security Plugin से Disable करना

अगर आप Technical Settings में हाथ नहीं डालना चाहते तो WordPress Security Plugins आपकी मदद करेंगे।

  • Wordfence Security → Advanced Blocking Settings में XML-RPC Disable का Option
  • iThemes Security (Solid Security) → Toggle option “Disable XML-RPC”
  • Sucuri Security → Website Firewall के जरिए XML-RPC Requests Block

यह Non-technical Users के लिए Best तरीका है।

Disable करने के बाद कैसे टेस्ट करें?

  1. cURL Command से Check करेंcurl -I https://yourdomain.com/xmlrpc.php
    • अगर Response 403 Forbidden या 404 Not Found आता है → XML-RPC Successfully Disabled है।
    • अगर 200 OK आता है तो Filter Method वाला Disable है (Less Secure)।
  2. Browser Test
    URL: https://yourdomain.com/xmlrpc.php
    • “Access Denied” या “Forbidden” दिखना चाहिए।

👉 यह भी पढ़ें: DeepSeek, ChatGPT, Grok: कौन है बेहतर AI असिस्टेंट? – पूरी तुलना

XML-RPC कब Disable नहीं करना चाहिए?

कुछ Users को XML-RPC की जरूरत पड़ सकती है। जैसे:

  • अगर आप WordPress Mobile App का इस्तेमाल करते हैं।
  • अगर आप Jetpack Plugin से Website Connect किए हुए हैं।
  • अगर कोई Old SEO Automation Tool या Remote Publishing Service यूज़ कर रहे हैं।

ऐसे में XML-RPC पूरी तरह बंद न करें, बल्कि केवल pingback.ping Method को Disable कर दें।

Extra Security Tips (Bonus)

  1. REST API का इस्तेमाल करें
    • Modern Services XML-RPC की बजाय REST API पर काम करते हैं। इससे Security बेहतर रहती है।
  2. Pingbacks & Trackbacks Disable करें
    • Dashboard → Settings → Discussion में जाकर “Allow link notifications from other blogs” Uncheck कर दें।
  3. Rate Limiting और Firewall यूज़ करें
    • Cloudflare WAF या Fail2Ban से Malicious Requests ब्लॉक करें।
  4. Regular Updates करें
    • WordPress Core, Themes और Plugins हमेशा Update रखें।
  5. Application Passwords
    • अगर आपको Remote Access चाहिए तो XML-RPC की बजाय Application Passwords का इस्तेमाल करें।

निष्कर्ष

XML-RPC WordPress का एक पुराना फीचर है जिसका आधुनिक समय में ज्यादा उपयोग नहीं होता। लेकिन Hackers इसे Brute Force और DDoS Attacks के लिए Target करते हैं। इसलिए Security बढ़ाने के लिए इसे Disable करना सबसे अच्छा विकल्प है।

अगर आपकी साइट Jetpack या WordPress App पर Depend नहीं है, तो XML-RPC को Server-Level पर पूरी तरह Block कर दें।
अगर Dependence है, तो केवल Pingback Method Disable करें।

इस गाइड में बताए गए .htaccess, Nginx Rules, WordPress Filters और Plugins की मदद से आप आसानी से XML-RPC को सुरक्षित तरीके से Disable कर सकते हैं।

FAQs

XML-RPC क्या है और WordPress में इसका क्या काम है?

XML-RPC एक API है जो WordPress को Remote Access देती है। इसके जरिए Mobile Apps और अन्य Third-Party Services साइट से Connect हो पाती हैं।

WordPress में XML-RPC को Disable करना क्यों ज़रूरी है?

XML-RPC Hackers के लिए Brute Force और DDoS Attack का आसान Target होता है। इसे Disable करने से आपकी वेबसाइट अधिक सुरक्षित रहती है।

XML-RPC Disable करने के सबसे आसान तरीके कौन-से हैं?

आप Plugin का इस्तेमाल कर सकते हैं, .htaccess File में Rules Add कर सकते हैं या Hosting Level Security Use कर सकते हैं।

XML-RPC Disable करने से क्या WordPress Site पर कोई Problem होगी?

अगर आप Jetpack या कुछ Remote Publishing Tools का इस्तेमाल करते हैं तो दिक्कत हो सकती है। वरना Normal Blogging और SEO पर कोई असर नहीं पड़ेगा।

क्या XML-RPC को Permanently Disable करना सही है?

हाँ, अगर आप Jetpack या Remote Services Use नहीं करते तो XML-RPC Disable करना सबसे सुरक्षित विकल्प है।

RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Most Popular

"On TechInUse.com, you get the latest technology news, AI tools, mobile tips, and easy information related to cyber security – all in simple Hindi."

© 2025 Techinuse.com - All Rights Reserved.