WordPress的XML-RPC是为了规范不同系统之间的通信的一种代码，这意味着WordPress之外的应用程序(比如其他博客平台和桌面客户端)也是可以与WordPress进行相互之间的通信。

自从WordPress诞生以来，这个通信规范一直都是WordPress的一部分，非常有用。没有它，WordPress将与互联网的其他部分隔离开来。

然而，xmlrpc.php有它的缺点。它可以给你的WordPress网站注入漏洞，这个网站已经被WordPress REST API所取代。最好通过应用编程接口向其他应用程序打开WordPress。

此外还可以通过xmlrpc.php对自己的网站进行DDos

xmlrpc.php启用的功能之一是平回和引用通告。当另一个博客或网站链接到您的博客文章时，这些通知将显示在您网站的评论中。

XML-RPC规范使得这种通信成为可能，但是它已经被REST API所取代(正如我们已经看到的)。

如果您的站点启用了XML-RPC，黑客可能会利用xmlrpc.php在短时间内向您的站点发送大量的ping命令，从而在您的站点上发起DDoS攻击。这可能会使服务器过载，并阻止站点正常运行。

同时也可以通过XML-RPC，黑客可能会利用xmlrpc.php在对长时间对你的网站进行无限制的密码爆破，从而进入到你的后台，让你的网站时时刻刻都有一种被人入侵，一旦被同行利用，直接入侵你的网站，对你的网站进行删库，从而达到他的目的。（百度：113资讯网）

xmlrpc.php是否在您的WordPress网站上运行？
其实很简单：直接在WordPress XML-RPC验证服务 网站上输入的你网站

会显示你的网站是否禁用xmlrpc.php，如果看不懂英文，建议使用Google浏览器，一键翻译。

最后

安装插件以禁用xmlrpc.php是最简单的方法。你可以通过安装Disable XML-RPC插件来实现。