Bei der Verwaltung einer WordPress-Website stehen Sicherheit und Leistung immer an erster Stelle. Eine Datei, die häufig in Diskussionen über beides auftaucht, ist xmlrpc.php. In diesem Artikel erklären wir, was diese Datei tut, warum sie als Sicherheitsrisiko gilt und wie Sie sie deaktivieren können, wenn sie nicht benötigt wird.

Was ist xmlrpc.php?

Die Datei xmlrpc.php ist eine Kernkomponente von WordPress, die die Remote-Kommunikation zwischen Ihrer WordPress-Website und externen Anwendungen ermöglicht. Sie verwendet das XML-RPC-Protokoll zum Senden von Daten und ermöglicht so Funktionen wie

  • Fernveröffentlichung von Inhalten über die WordPress Mobile App oder externe Blogging-Tools

  • Trackbacks und Pingbacks

  • Jetpack und andere Plugin-Funktionen, die auf Fernzugriff angewiesen sind

In früheren Versionen von WordPress (vor der REST-API) war die Datei xmlrpc.php unerlässlich, um Remote-Operationen zu ermöglichen. Inzwischen ist die REST-API jedoch die moderne und sicherere Alternative.

Warum ist xmlrpc.php ein Sicherheitsproblem?

Obwohl xmlrpc.php legitimen Zwecken dient, wurde es oft für bösartige Aktivitäten ausgenutzt, insbesondere wenn es nicht richtig abgesichert ist. Zu den häufigsten Bedrohungen gehören:

  • Brute-force-Angriffe: Hacker können damit Tausende von Kombinationen aus Benutzernamen und Kennwort in einer einzigen Anfrage ausprobieren.

  • DDoS-Angriffe: Die Datei kann missbraucht werden, um Pingbacks von Ihrer Website an andere zu senden, was zu verteilten Denial-of-Service-Angriffen führt.

  • Schwachstellen bei der Remote-Code-Ausführung: Ältere oder schlecht konfigurierte Versionen von WordPress könnten gefährdet sein.

Wenn Sie keine Dienste oder Plugins verwenden, die auf xmlrpc.php angewiesen sind, ist es im Allgemeinen eine gute Idee, sie zu deaktivieren.

So deaktivieren Sie xmlrpc.php

1. Ein Plugin verwenden

Der einfachste Weg, xmlrpc.php zu deaktivieren, ist mit einem Sicherheits-Plugin wie

  • Wordfence Sicherheit

  • XML-RPC deaktivieren

  • All In One WP Sicherheit & Firewall

Diese Plugins ermöglichen es, den Zugriff auf die Datei mit einem Klick zu deaktivieren.

2. Deaktivierung über .htaccess

Wenn Sie einen Apache-Server verwenden, können Sie den Zugriff auf die Datei xmlrpc.php blockieren, indem Sie diese Regel zu Ihrer .htaccess-Datei im Stammverzeichnis hinzufügen:


Befehl Verweigern,Erlauben
Von allen verweigern 

3. Nginx verwenden

Bei Nginx-Servern fügen Sie Folgendes in Ihre Konfigurationsdatei ein:

location = /xmlrpc.php {
alleverweigern;
access_log aus;
log_not_found aus;
}

4. Deaktivierung über functions.php (eingeschränkt)

Sie können einige xmlrpc-Methoden auch deaktivieren, indem Sie die folgende Zeile in die functions.php Ihres Themes einfügen:

add_filter('xmlrpc_enabled', '__return_false');

Hinweis: Dies verhindert nicht den Zugriff auf die Datei, sondern deaktiviert nur die Funktionalität.

Wann sollten Sie es aktiviert lassen?

Sie müssen xmlrpc.php möglicherweise aktiviert lassen, wenn:

  • Sie die WordPress Mobile App für die Veröffentlichung verwenden

  • Sie Jetpack oder andere Remote-Publishing-Tools verwenden

  • Ihre Website mit Altsystemen oder Anwendungen integriert ist, die XML-RPC benötigen

In diesen Fällen sollten Sie Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung, sichere Passwörter und Ratenbegrenzung verwenden.

Fazit

Die Datei xmlrpc.php in WordPress war einst eine wichtige Komponente für die Ermöglichung des Fernzugriffs, wird jetzt aber oft als Sicherheitsrisiko betrachtet. Wenn Sie nicht aktiv Funktionen nutzen, die von dieser Datei abhängen, ist die Deaktivierung der xmlrpc.php eine einfache und effektive Möglichkeit, Ihre WordPress-Website zu schützen. Sichern Sie Ihre Website immer, bevor Sie Änderungen vornehmen, und testen Sie sie nach der Deaktivierung, um sicherzustellen, dass keine Funktionalität beeinträchtigt wird.