A menudo, cuando encuentro recursos sobre vulnerabilidades de XML-RPC con respecto al archivo xmlrpc.php que se encuentran comúnmente expuestos en los sitios de WordPress, encuentro junto con la recomendación de eliminar o bloquear el archivo xmlrpc.php que también se recomienda eliminar wlwmanifest.xml (enlace del Manifiesto de Windows Live Writer).
Por lo que sé, wlwmanifest.xml no ofrece ninguna información de versión de WordPress, ni parece poder aprovecharse para probar las credenciales de nombre de usuario / contraseña como xmlrpc.php .
La mayoría del contenido en las fuentes a continuación indica, en resumen, "eliminar el código si no se usa, ya que no es necesario".
¿Puede alguien aclarar por qué este archivo también debe eliminarse / bloquearse? Si esto no es un problema de seguridad, ¿es simplemente una optimización?
¡Gracias!
Fuentes (que sugieren la eliminación / bloque de wlwmanifest.xml ):