Lỗi WordPress XMLRPC request error là một trong những vấn đề phổ biến mà người dùng WordPress gặp phải khi sử dụng các ứng dụng di động, plugin kết nối từ xa hoặc tính năng tự động đăng bài. Lỗi này thường xuất hiện dưới dạng thông báo “XML-RPC request error” hoặc “Error: XML-RPC services are disabled on this site”. Hiểu rõ bản chất của XMLRPC và cách xử lý lỗi này sẽ giúp bạn duy trì hoạt động ổn định cho website WordPress của mình.
XMLRPC trong WordPress là gì?

XMLRPC (XML Remote Procedure Call) là một giao thức cho phép các ứng dụng bên ngoài giao tiếp với website WordPress thông qua HTTP. Giao thức này sử dụng XML để mã hóa dữ liệu và cho phép thực hiện các thao tác như đăng bài, chỉnh sửa nội dung, upload media, quản lý comment từ xa.
WordPress tích hợp sẵn file xmlrpc.php trong thư mục gốc từ phiên bản đầu tiên. File này đóng vai trò như một cổng kết nối cho các ứng dụng như WordPress mobile app, Jetpack, IFTTT, Zapier, và nhiều plugin khác.
Nguyên nhân chính gây ra WordPress XMLRPC request error
1. XMLRPC bị vô hiệu hóa bởi plugin bảo mật
Nhiều plugin bảo mật như Wordfence, Sucuri, All In One WP Security & Firewall có tùy chọn tắt XMLRPC để ngăn chặn tấn công brute force. Khi tính năng này bị vô hiệu hóa, mọi request đến xmlrpc.php đều bị chặn và trả về lỗi.
2. Tường lửa hoặc.htaccess chặn xmlrpc.php
Một số cấu hình tường lửa cấp máy chủ hoặc quy tắc trong file.htaccess có thể chặn truy cập đến xmlrpc.php. Điều này thường xảy ra khi chủ hosting áp dụng các biện pháp bảo mật mặc định.
3. Lỗi do plugin hoặc theme xung đột
Plugin hoặc theme kém chất lượng có thể can thiệp vào quá trình xử lý XMLRPC, gây ra lỗi request. Xung đột thường xảy ra khi có nhiều plugin cùng cố gắng kiểm soát hoặc sửa đổi hành vi của xmlrpc.php.
4. Cấu hình server không hỗ trợ
Một số máy chủ hosting có cấu hình PHP hoặc Apache/Nginx không tương thích với XMLRPC. Các vấn đề thường gặp bao gồm giới hạn thời gian thực thi quá thấp, bộ nhớ PHP không đủ, hoặc mod_security chặn request.
5. Tấn công brute force làm quá tải
Khi website bị tấn công brute force qua XMLRPC, số lượng request khổng lồ có thể làm server quá tải, dẫn đến lỗi timeout hoặc từ chối kết nối. Phương pháp tấn công XMLRPC brute force thường sử dụng lệnh system.multicall để thử nhiều mật khẩu cùng lúc.
Dấu hiệu nhận biết lỗi WordPress XMLRPC request error

- Không thể đăng nhập vào WordPress qua ứng dụng di động
- Plugin Jetpack hiển thị thông báo kết nối thất bại
- Không thể sử dụng tính năng tự động đăng bài từ IFTTT hoặc Zapier
- Lỗi “XML-RPC request error” xuất hiện khi cố gắng kết nối từ xa
- File xmlrpc.php trả về mã lỗi 403, 404 hoặc 500 khi truy cập trực tiếp
- Cho phép quản lý website từ xa qua ứng dụng di động
- Hỗ trợ tích hợp với các dịch vụ bên thứ ba như Jetpack, IFTTT
- Tự động hóa quy trình đăng bài và quản lý nội dung
- Kết nối với các công cụ marketing và SEO
- Dễ bị tấn công brute force nếu không bảo vệ đúng cách
- Có thể gây quá tải server nếu bị lạm dụng
- Không phải hosting nào cũng hỗ trợ tối ưu
- Tiêu tốn tài nguyên server khi xử lý nhiều request
Cách kiểm tra trạng thái XMLRPC trên WordPress
Trước khi khắc phục, bạn cần xác định chính xác trạng thái của XMLRPC. Truy cập đường dẫn https://yourdomain.com/xmlrpc.php. Nếu thấy trang trắng hoặc thông báo “XML-RPC server accepts POST requests only”, XMLRPC đang hoạt động bình thường. Nếu nhận được mã lỗi 403, 404 hoặc thông báo lỗi khác, XMLRPC đã bị vô hiệu hóa hoặc chặn.
Sử dụng công cụ trực tuyến như XMLRPC Validator để kiểm tra khả năng phản hồi của xmlrpc.php. Công cụ này sẽ gửi một request test và báo cáo kết quả chi tiết.
Hướng dẫn khắc phục WordPress XMLRPC request error

Phương pháp 1: Kiểm tra và cấu hình plugin bảo mật
Truy cập vào dashboard WordPress, vào phần Settings của plugin bảo mật đang sử dụng. Tìm tùy chọn liên quan đến XMLRPC và đảm bảo nó được bật. Ví dụ với Wordfence, vào Wordfence > All Options > General Options, tìm mục “Disable XML-RPC” và bỏ tick nếu đang được chọn.
Phương pháp 2: Kiểm tra file.htaccess
Mở file.htaccess trong thư mục gốc WordPress bằng FTP hoặc File Manager. Tìm các dòng lệnh chặn xmlrpc.php như:
RewriteRule ^xmlrpc.php$ – [F,L] RewriteCond %{REQUEST_URI} xmlrpc.php [NC]
Nếu tìm thấy, hãy comment hoặc xóa các dòng này. Lưu file và kiểm tra lại.
Phương pháp 3: Tạm thời vô hiệu hóa plugin và theme
Vô hiệu hóa tất cả plugin bằng cách đổi tên thư mục wp-content/plugins thành wp-content/plugins_old. Nếu lỗi biến mất, kích hoạt từng plugin để xác định plugin gây xung đột. Tương tự, chuyển sang theme mặc định như Twenty Twenty-Four để kiểm tra theme.
Phương pháp 4: Tăng giới hạn tài nguyên server
Thêm các dòng sau vào file wp-config.php để tăng thời gian thực thi và bộ nhớ:
define(‘WP_MEMORY_LIMIT’, ‘256M’);
define(‘WP_MAX_EXECUTION_TIME’, 300);
Liên hệ nhà cung cấp hosting nếu cần điều chỉnh cấu hình PHP hoặc tắt mod_security cho xmlrpc.php.
Phương pháp 5: Sử dụng plugin kiểm soát XMLRPC
Cài đặt plugin như “Disable XML-RPC” hoặc “Control XML-RPC” để quản lý quyền truy cập. Các plugin này cho phép bạn bật/tắt XMLRPC, giới hạn IP được phép truy cập, và theo dõi request.
So sánh các phương pháp khắc phục lỗi XMLRPC
| Phương pháp | Độ khó | Thời gian thực hiện | Hiệu quả |
|---|---|---|---|
| Kiểm tra plugin bảo mật | Dễ | 5-10 phút | Cao nếu nguyên nhân từ plugin |
| Sửa file.htaccess | Trung bình | 10-15 phút | Cao nếu bị chặn bởi rule |
| Vô hiệu hóa plugin/theme | Dễ | 15-30 phút | Rất cao để xác định xung đột |
| Tăng tài nguyên server | Trung bình | 10-20 phút | Trung bình, phụ thuộc hosting |
| Plugin kiểm soát XMLRPC | Dễ | 5 phút | Cao, có kiểm soát chi tiết |
Lợi ích và hạn chế của việc sử dụng XMLRPC

Lợi ích
Hạn chế
Sai lầm thường gặp khi xử lý lỗi WordPress XMLRPC request error
Nhiều người dùng vội vàng xóa file xmlrpc.php khỏi server. Đây là sai lầm nghiêm trọng vì WordPress core sẽ tự động tạo lại file này khi cập nhật. Thay vào đó, nên vô hiệu hóa XMLRPC qua plugin hoặc.htaccess nếu không có nhu cầu sử dụng.
Một sai lầm khác là cài đặt quá nhiều plugin bảo mật cùng lúc. Điều này gây xung đột và khó xác định nguyên nhân gốc rễ. Chỉ nên sử dụng một plugin bảo mật chính và cấu hình cẩn thận.
Không kiểm tra log lỗi server trước khi can thiệp cũng là lỗi phổ biến. Log lỗi thường chứa thông tin chi tiết về nguyên nhân, giúp tiết kiệm thời gian xử lý.
Lưu ý quan trọng khi làm việc với XMLRPC
Luôn sao lưu website trước khi thực hiện bất kỳ thay đổi nào liên quan đến file hệ thống. Sử dụng FTP hoặc File Manager để truy cập file, tránh chỉnh sửa trực tiếp từ WordPress editor.
Nếu website sử dụng CDN như Cloudflare, kiểm tra cấu hình firewall của CDN có chặn xmlrpc.php không. Cloudflare có tính năng “Browser Integrity Check” có thể chặn request từ ứng dụng di động.
Đối với website thương mại điện tử hoặc blog có nhiều tác giả, cân nhắc sử dụng plugin giới hạn quyền truy cập XMLRPC theo IP hoặc theo vai trò người dùng.
Câu hỏi thường gặp về WordPress XMLRPC request error
Làm thế nào để kiểm tra XMLRPC có hoạt động không?
Truy cập đường dẫn yourdomain.com/xmlrpc.php. Nếu thấy thông báo “XML-RPC server accepts POST requests only”, XMLRPC đang hoạt động. Sử dụng công cụ XMLRPC Validator để kiểm tra chi tiết hơn.
Có nên tắt XMLRPC trên WordPress không?
Chỉ nên tắt nếu bạn không sử dụng ứng dụng di động, Jetpack hoặc dịch vụ tích hợp từ xa. Nếu cần bảo mật, hãy giới hạn quyền truy cập thay vì tắt hoàn toàn.
Tại sao XMLRPC bị tấn công brute force?
XMLRPC cho phép thực hiện nhiều request cùng lúc qua lệnh system.multicall, giúp hacker thử hàng ngàn mật khẩu trong thời gian ngắn. Đây là lý do chính khiến XMLRPC trở thành mục tiêu.
Plugin nào tốt nhất để bảo vệ XMLRPC?
Wordfence, Sucuri Security, và iThemes Security đều có tính năng bảo vệ XMLRPC hiệu quả. Ngoài ra, plugin “Disable XML-RPC” đơn giản và nhẹ cho nhu cầu cơ bản.
Lỗi XMLRPC có ảnh hưởng đến tốc độ website không?
Lỗi XMLRPC không trực tiếp ảnh hưởng đến tốc độ website. Tuy nhiên, nếu có tấn công brute force qua XMLRPC, server có thể bị quá tải và làm chậm toàn bộ website.
Kết luận
WordPress XMLRPC request error là vấn đề kỹ thuật có thể khắc phục bằng nhiều phương pháp khác nhau, từ kiểm tra plugin bảo mật, sửa file.htaccess đến tăng tài nguyên server. Việc hiểu rõ nguyên nhân và áp dụng đúng giải pháp sẽ giúp bạn duy trì kết nối ổn định cho các ứng dụng và dịch vụ tích hợp.
Quan trọng nhất là cân bằng giữa bảo mật và chức năng. Không nên tắt hoàn toàn XMLRPC nếu bạn thực sự cần sử dụng, nhưng cũng đừng bỏ qua các biện pháp bảo vệ cần thiết. Sử dụng plugin bảo mật uy tín, giới hạn quyền truy cập theo IP, và thường xuyên kiểm tra log lỗi server để phát hiện sớm các vấn đề tiềm ẩn.
Nếu đã thử tất cả các phương pháp trên mà lỗi vẫn tiếp diễn, hãy liên hệ với nhà cung cấp hosting để được hỗ trợ kiểm tra cấu hình server. Trong nhiều trường hợp, vấn đề nằm ở phía máy chủ và cần can thiệp kỹ thuật từ đội ngũ hỗ trợ.
- Checkout Optimization WooCommerce: Bí Quyết Tăng Tỷ Lệ Chuyển Đổi và Doanh Thu
- Theme WordPress mất CSS: Nguyên nhân và cách khắc phục triệt để
- Cách Khắc Phục Lỗi WordPress Upload Timeout – Nguyên Nhân Và Giải Pháp Chi Tiết
- WooCommerce Wholesale là gì? Hướng dẫn toàn diện từ A-Z cho người bán buôn
- WordPress Database Backup Lỗi: Nguyên Nhân, Cách Khắc Phục và Phòng Tránh Toàn Diện
















