xmlrpc.php in WordPress: Was ist es und warum sollte man es deaktivieren?
WordPress verfügt seit jeher über Funktionen, die es Ihnen ermöglichen, remote mit Ihrer Website zu interagieren. Lange Zeit war die Lösung eine Datei namens xmlrpc.php. In den letzten Jahren ist diese Datei jedoch eher zu einem Problem als zu einer Lösung geworden.
Wir werden uns ansehen, was xmlrpc.php ist und warum diese Datei geschrieben wurde. Wir gehen auch auf die häufigsten Sicherheitsprobleme ein, die sie verursacht, und wie Sie diese auf Ihrer eigenen WordPress-Website beheben können.
Inhaltsverzeichnis
Was ist xmlrpc.php in WordPress?
XML-RPC ist eine Funktion von WordPress, die die Übertragung von Daten zwischen Systemen ermöglicht, wobei HTTP als Transportmechanismus und XML als Kodierungsmechanismus dient. Die Datei xmlrpc.php stellt dabei eine Schnittstelle dar, über die WordPress mit externen Anwendungen wie z. B. mobilen Apps oder Desktop-Clients kommunizieren kann.
Da WordPress kein in sich geschlossenes System ist und regelmäßig mit anderen Diensten kommunizieren muss, wurde diese Funktion genutzt, um Daten auszutauschen. Die wichtigsten Funktionen, die xmlrpc.php ermöglichte, waren die Verbindung zu Ihrer Website über Ihre mobile App, die Implementierung von Trackbacks und Pingbacks von anderen Websites sowie bestimmte Features im Zusammenhang mit dem Jetpack-Plugin. Nehmen wir an, Sie wollten von Ihrem mobilen Gerät aus Beiträge auf Ihrer WordPress-Website veröffentlichen. Dazu können Sie die Fernzugriffsfunktion der Datei xmlrpc.php nutzen – ein Ansatz, der heute zunehmend von der modernen WordPress REST API ersetzt wird, auch aus Gründen der Sicherheit.
Warum wurde xmlrpc.php erstellt und wie wurde es verwendet?
Die Verwendung von XML-RPC geht auf die Anfänge von WordPress zurück, bevor WordPress überhaupt WordPress genannt wurde.
Das Schreiben und Veröffentlichen im Internet war in den frühen Tagen des Internets, als die Verbindungen unglaublich langsam waren, viel schwieriger und zeitaufwändiger. Damals bestand die Lösung darin, einen Offline-Blogging-Client zu entwickeln, mit dem Sie Ihre Inhalte verfassen konnten, bevor Sie sich mit Ihrem Blog verbanden, um sie zu veröffentlichen. Diese Verbindung wurde über XML-RPC hergestellt.
XML-RPC war zunächst standardmäßig deaktiviert, bis WordPress 2.6 eine Funktion im Dashboard hinzufügte, um es zu aktivieren oder zu deaktivieren. Dann wurde XML-RPC mit WordPress 3.5 und der Einführung der WordPress Mobile App standardmäßig aktiviert. Die Option, XML-RPC über das Dashboard zu aktivieren oder zu deaktivieren, wurde ebenfalls entfernt.
XML-RPC heute
Im Jahr 2015 führte WordPress Core eine neue REST-API für die Interaktion mit mobilen Anwendungen und anderen Plattformen ein. Viele Entwickler begannen, stattdessen die neue REST-API zu verwenden, die XML-RPC quasi ersetzte.
Allerdings ist XML-RPC in WordPress immer noch aktiviert, und die Datei xmlrpc.php befindet sich immer noch im Verzeichnis der Kernsoftware.
Warum Sie xmlrpc.php deaktivieren sollten
Das größte Problem bei XML-RPC sind die Sicherheitsbedenken, die sich daraus ergeben. Dabei geht es nicht um XML-RPC an sich, sondern darum, wie die Datei missbraucht werden kann, um Cyberattacken auf Ihrer Website zu starten.
Die erste Möglichkeit ist der Einsatz von Brute-Force-Angriffen, um sich Zugang zu Ihrer Website zu verschaffen. Ein Angreifer kann versuchen, über xmlrpc.php auf Ihre Website zuzugreifen, indem er verschiedene Kombinationen von Benutzernamen und Kennwort verwendet. Mit einem einzigen Befehl können Hunderte von verschiedenen Passwörtern getestet und so Sicherheitstools umgangen werden, die Brute-Force-Angriffe normalerweise erkennen und blockieren.
Die zweite Möglichkeit besteht darin, Websites durch einen DDoS-Angriff offline zu nehmen. Hacker nutzen die Pingback-Funktion in WordPress, um sofort Pingbacks an Tausende von Websites zu senden. Diese Funktion in der Datei xmlrpc.php bietet Hackern einen nahezu unendlichen Vorrat an IP-Adressen, über die sie einen DDoS-Angriff verteilen können.
Experten-Tipp
Verschiedene Bedrohungen stellen Risiken für die Sicherheit Ihrer Website dar. Sie können Ihre Website gegen potenzielle Schwachstellen schützen, indem Sie einen zuverlässigen WordPress-Hosting-Anbieter wählen. Sorgen Sie für den Schutz Ihrer Website, indem Sie einen sicheren WordPress-Host wählen, der fortschrittliche Sicherheitsmaßnahmen implementiert.
Daher ist es am besten, sich abgesehen von starken Passwörtern und WordPress-Sicherheitsplugins damit zu schützen, xmlrpc.php zu deaktivieren.
Um zu überprüfen, ob XML-RPC auf Ihrer Website läuft, lassen Sie es durch ein Tool namens XML-RPC Validator laufen. Wenn Sie eine Fehlermeldung erhalten, bedeutet das, dass Sie XML-RPC nicht aktiviert haben. Wenn Sie jedoch eine Erfolgsmeldung erhalten, wird dringend empfohlen, xmlrpc.php zu deaktivieren.
Wie Sie xmlrpc.php in WordPress deaktivieren
Gehen wir die beiden Möglichkeiten durch, xmlrpc.php in WordPress zu deaktivieren.
1. xmlrpc.php mit einem Plugin deaktivieren
Mit einem Plugin ist das Deaktivieren von XML-RPC auf Ihrer WordPress-Website ganz einfach.
Navigieren Sie einfach zum Abschnitt Plugins → Neu hinzufügen in Ihrem WordPress-Dashboard. Suchen Sie nach Disable XML-RPC-API und installieren Sie es. Sobald Sie das Plugin aktivieren, wendet es automatisch den notwendigen Code an, um XML-RPC zu deaktivieren.
Denken Sie daran, dass andere vorhandene Plugins möglicherweise Teile von XML-RPC verwenden. Wenn Sie es also vollständig deaktivieren, könnte dies zu einem Plugin-Konflikt führen oder dazu, dass bestimmte Elemente Ihrer Website nicht mehr funktionieren.
2. xmlrpc.php manuell deaktivieren
Wenn Sie es vorziehen, xmlrpc.php manuell zu löschen, folgen Sie dieser Methode, die alle eingehenden xmlrpc.php-Anfragen stoppt, bevor sie an WordPress weitergeleitet werden.
Greifen Sie auf Ihre .htaccess-Datei über den Dateimanager Ihres Hosting-Kontrollpanels oder einen FTP-Client zu. Möglicherweise müssen Sie die Option Versteckte Dateien anzeigen aktivieren, um diese Datei sichtbar zu machen. Fügen Sie in Ihre .htaccess-Datei den folgenden Code ein:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>
Wichtig!Ändern Sie xxx.xxx.xxx.xxx in die IP-Adresse, die Sie für den Zugriff auf xmlrpc.php zulassen wollen oder entfernen Sie diese Zeile ganz.
Fazit
XML-RPC war ein solides Remote-Publishing-Tool für Ihre WordPress-Website. Es wies jedoch einige Sicherheitslücken auf, die sich für einige WordPress-Site-Besitzer als ziemlich schädlich erwiesen.
Um sicherzustellen, dass Ihre Website sicher bleibt, ist es sehr empfehlenswert, xmlrpc.php vollständig zu deaktivieren, indem Sie ein Plugin verwenden oder die .htaccess-Datei manuell bearbeiten.
Mehr über WordPress erfahren
WordPress-Tutorial
Wie man in WordPress benutzerdefinierte CSS hinzufügt
Mathias ist ein Top-bewerteter Englisch-Deutsch-Übersetzer auf Fiverr. Er hilft seinen Kunden dabei, natürliche Übersetzungen zu erstellen, die die Zielgruppe wirklich erreichen. Wenn er nicht gerade an sprachlichen Feinheiten feilt, verbringt er seine Freizeit gerne mit Gaming und schaut Esports. Hier geht’s zu seinem Fiverr-Profil.
