LarhTech – Jika Anda mengecek log keamanan server website Anda, Anda mungkin akan terkejut melihat seberapa sering bot tak dikenal mencoba mengakses alamat namadomain.com/xmlrpc.php.
Apa itu XML-RPC? Di masa lalu, fitur ini diciptakan agar WordPress bisa berkomunikasi dengan sistem luar (seperti aplikasi mobile WordPress atau sistem pingback). Namun di era modern saat ini, fitur tersebut sudah usang karena WordPress telah beralih ke REST API.
Bukannya bermanfaat, xmlrpc.php kini sering menjadi celah favorit para peretas (hacker) untuk melancarkan serangan Brute Force (menebak password ribuan kali per detik) atau serangan DDoS yang bisa membuat server VPS Anda tumbang dan menghabiskan RAM.
Solusi dari kebanyakan orang adalah menginstal plugin keamanan (seperti Wordfence atau iThemes Security). Namun, plugin tersebut sangat berat! Di tutorial ini, kita akan mematikan XML-RPC langsung dari akar server hanya dengan menambahkan beberapa baris kode rahasia.
Metode 1: Mematikan XML-RPC via File .htaccess (Untuk Pengguna Apache / cPanel)
Jika Anda menggunakan hosting panel standar (seperti cPanel) yang ditenagai oleh web server Apache atau LiteSpeed, ikuti langkah super cepat ini:
- Login ke cPanel atau dashboard hosting Anda.
- Buka menu File Manager, lalu masuk ke folder public_html.
- Cari file bernama .htaccess. (Jika tidak terlihat, pastikan pengaturan “Show Hidden Files” di pojok kanan atas sudah dicentang).
- Klik kanan file tersebut dan pilih Edit.
- Copy dan paste kode sakti berikut di bagian paling atas (sebelum tulisan # BEGIN WordPress):
# Blokir Akses ke XML-RPC
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>- Klik Save Changes. Selesai!
Metode 2: Mematikan XML-RPC via Konfigurasi Nginx (Untuk Pengguna VPS / aaPanel)
Jika Anda adalah pengguna VPS tingkat lanjut yang menggunakan web server Nginx (seperti di aaPanel), file .htaccess di atas tidak akan mempan. Nginx memiliki bahasanya sendiri yang justru jauh lebih cepat dalam memblokir ancaman.
- Login ke dashboard aaPanel Anda.
- Masuk ke menu Websites, lalu klik nama domain WordPress Anda.
- Pada jendela pengaturan yang muncul, cari dan klik tab Config (atau Configuration).
- Anda akan melihat barisan kode pengaturan Nginx. Gulir ke bagian paling bawah, tepat di atas kurung kurawal penutup } yang terakhir.
- Paste kode pemblokir berikut ini:
# Blokir Akses ke XML-RPC oleh LarhTech
location ~* ^/xmlrpc.php$ {
return 403;
}- Klik tombol Save. Nginx akan otomatis memuat ulang (reload) konfigurasinya.
Cara Menguji Keberhasilan
Untuk memastikan bahwa kode Anda benar-benar bekerja, Anda tidak perlu alat yang rumit. Buka tab browser baru, lalu ketik URL website Anda diikuti dengan /xmlrpc.php (Contoh: https://larhtech.com/xmlrpc.php).
- Jika Gagal (Masih Aktif): Layar akan menampilkan teks hitam putih berbunyi: “XML-RPC server accepts POST requests only.“
- Jika Berhasil (Aman): Layar akan menampilkan pesan error 403 Forbidden. Ini menandakan bahwa server Anda langsung menendang bot tersebut sebelum mereka sempat menyentuh database WordPress Anda!
Kesimpulan
Keamanan website tidak selalu identik dengan plugin yang berat dan mahal. Dengan memahami sedikit arsitektur server (baik itu Apache maupun Nginx), Anda bisa menutup celah keamanan terbesar di WordPress hanya dalam waktu kurang dari 2 menit.
Baca Juga: Cara Backup Website Otomatis ke Google Drive
RAM VPS Anda kini bisa bernapas lega karena tidak perlu lagi melayani ribuan permintaan bot ‘spam‘ setiap harinya!
