XML-RPC novamente habilitado por padrão no WordPress 3.5

O serviço XML-RPC service foi desativado por padrão por um longo período pois foi considerado uma brecha de segurança (por exemplo, spam em comentários e trackback), mas voltará a ser ativado por padrão no WordPress 3.5.

Algumas coisas mudaram desde que desativamos o XML-RPC por padrão. Seu código melhorou, e ele não é mais considerado um cidadão de segunda classe quando se trata de desenvolvimento API, graças ao trabalho de uma grande equipe de colaboradores impressionantes. Segurança não é uma preocupação maior do que o resto do núcleo.
Não há mais uma razão para desativar isso por padrão. É hora de nós removermos essa opção inteiramente.

(Andrew Nacin, Ticket #21509)

Se você atualizar sua instalação do WordPress para a versão 3.5,  a opção enable_xmlrpc será removida do seu banco de dados, deixando claro que este serviço estará ativo mesmo se você tiver o desativado nas configurações. Os filtros (agora marcados como obsoletos)  pre_option_enable_xmlrpc e option_enable_xmlrpc ainda serão respeitados.

No entanto, ainda será possível desativar o serviço, porém de uma forma um pouco “mais difícil”. WordPress 3.5 trás o novo filtro  xmlrpc_enabled:

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

Você pode adicionar este código no wp_config.php depois da linha require_once(ABSPATH . 'wp-settings.php');  se você quiser desabilitar o XML-RPC de seu site. Ou voc6e pode usar um pequeno plugin para isso.

O WordPress também possui um protocolo menos conhecido de publicação, o “Atom”. Este serviço será removido na versão 3.5 pois tem menos funções que o XML-RPC e, de acordo com Nacin, “nunca foi muito querido pelos desenvolvedores” (#21866). Qualquer tentativa de chamar o serviço AtomPub terá retorno de erro 403. Plugins que utilizam a classe wp_atom_server receberão um aviso de que a classe está obsoleta.

Se você ainda quiser utilizar o protocolo AtomPub, você pode instalar este plugin.