{"id":3104,"date":"2025-03-26T19:15:39","date_gmt":"2025-03-26T19:15:39","guid":{"rendered":"\/nl\/tutorials\/?p=3104"},"modified":"2025-03-26T19:17:08","modified_gmt":"2025-03-26T19:17:08","slug":"xmlrpc-php-wordpress","status":"publish","type":"post","link":"\/nl\/tutorials\/xmlrpc-php-wordpress","title":{"rendered":"xmlrpc.php in WordPress: wat is het en waarom zou je het uitschakelen"},"content":{"rendered":"

WordPress heeft altijd al functies gehad waarmee je op afstand met je site kunt communiceren. Lange tijd werd dit opgelost met een bestand xmlrpc.php <\/strong>genaamd. De laatste jaren is het bestand echter meer een probleem dan een oplossing geworden.<\/p>

In dit artikel kijken we naar wat xmlrpc.php<\/strong> is en waarom het ooit werd gebruikt. We bespreken ook de meest voorkomende beveiligingsproblemen die het met zich meebrengt en hoe je deze op je eigen WordPress-website kunt aanpakken.<\/p>

\n\n\n\n\n\n\n<\/p>

Wat is xmlrpc.php in WordPress?<\/h2>

XML-RPC is een functie van WordPress waarmee gegevens kunnen worden verzonden, met HTTP als transportmechanisme en XML als codering mechanisme. Omdat WordPress geen gesloten systeem is en soms met andere platforms moet communiceren, werd XML-RPC hiervoor gebruikt.<\/p>

De belangrijkste functies die xmlrpc.php<\/strong> mogelijk maakte waren, de verbinding met je site via smartphone, de implementatie van trackbacks en pingbacks van andere sites en enkele functies die te maken hebben met de Jetpack-plug-in.<\/p>

Stel dat je een bericht vanaf je mobiele apparaat wilde plaatsen, dan kon je met xmlrpc.php<\/strong> op afstand op je WordPress-website inloggen en dit eenvoudig regelen.<\/p>

Waarom werd xmlrpc.php gemaakt en hoe werd het gebruikt?<\/h2>

Het gebruik van XML-RPC gaat terug tot de begindagen van WordPress, nog voordat het WordPress heette.<\/p>

In het begin van het internet, toen de verbindingen ongelooflijk traag waren, was schrijven en publiceren op het internet veel moeilijker en tijdrovender. De oplossing was toen het maken van een offline blogclient, waar je je inhoud kon samenstellen voordat je verbinding met je blog maakte om het te publiceren. Deze verbinding werd met behulp van XML-RPC tot stand gebracht.<\/p>

Aanvankelijk stond XML-RPC standaard uit, maar met WordPress 2.6<\/strong> kwam er een optie in het dashboard om deze handmatig aan of uit te zetten. Vanaf WordPress 3.5<\/strong> werd XML-RPC echter standaard ingeschakeld, mede door de introductie van de mobiele WordPress-app. Tegelijkertijd verdween de optie om XML-RPC via het dashboard te beheren.<\/p>

XML-RPC vandaag de dag<\/h3>

In 2015 heeft WordPress core een nieuwe REST API geïntroduceerd voor interacties met mobiele applicaties en andere platforms. Veel ontwikkelaars zijn in plaats daarvan de nieuwe REST API gaan gebruiken, die XML-RPC in feite heeft vervangen.<\/p>

XML-RPC is echter nog steeds ingeschakeld in WordPress en het xmlrpc.php bestand staat nog steeds in de core software directory.<\/p>

XML-RPC staat standaard ingeschakeld in WordPress, en het bestand xmlrpc.php<\/strong> is nog steeds onderdeel van de kern software<\/p>

\n\n\n

\n

Leestip<\/h4>\n

Lees meer over WordPress REST API<\/a> en hoe je deze kunt gaan gebruiken bij het ontwikkelen van WordPress.<\/p>\n <\/div>\n\n\n\n<\/p>

Waarom je xmlrpc.php moet uitschakelen<\/h2>

Het grootste probleem met XML-RPC is de beveliging. Het probleem ligt niet bij XML-RPC op zich, maar bij de manier waarop het bestand kan worden misbruikt om cyberaanvallen op jouw site uit te voeren.<\/p>

Ten eerste gebruiken hackers brute-force aanvallen<\/strong> om toegang tot jouw site te krijgen. Een hacker probeert via xmlrpc.php<\/strong> toegang te krijgen tot je site door verschillende combinaties van gebruikersnaam en wachtwoord te gebruiken. Ze kunnen met één commando honderden verschillende wachtwoorden testen, waarmee ze beveiligingstools die brute-force aanvallen detecteren en blokkeren, kunnen omzeilen.<\/p>

DDoS-aanvallen zijn een andere bedreiging. Hackers kunnen de pingback-functie van WordPress misbruiken om in één keer pingbacks naar duizenden websites te sturen. Door deze functie in xmlrpc.php <\/strong>krijgen ze toegang tot een enorme reeks IP-adressen, waarmee ze eenvoudig een DDoS-aanval kunnen uitvoeren en websites offline kunnen halen.<\/p>

\n\n\n

\n

Pro tip<\/h4>\n

Verschillende bedreigingen vormen een risico voor de veiligheid van je website. Je kunt je website beschermen tegen mogelijke kwetsbaarheden door een betrouwbare WordPress hosting provider<\/a> beschermen tegen mogelijke kwetsbaarheden door een betrouwbare WordPress hosting provider te kiezen. Bescherm je website door een veilige WordPress host te kiezen, die geavanceerde beveiligingsmaatregelen gebruikt.<\/p>\n <\/div>\n\n\n\n<\/p>


Je kunt jezelf dus niet alleen beveiligen met sterke wachtwoorden en WordPress beveiliging plug-ins, maar je kunt xmlrpc.php<\/strong> het beste uitschakelen.<\/p>

Als je wilt controleren of XML-RPC op je site wordt uitgevoerd, kun je het programma XML-RPC Validator<\/strong> gebruiken. Als je een foutmelding krijgt, betekent dit dat XML-RPC niet is ingeschakeld. Maar als je een ‘succesvolle melding’ krijgt, is het ten zeerste aanbevolen om xmlrpc.php<\/strong> uit te schakelen.<\/p>

Zo schakel je xmlrpc.php in WordPress uit<\/h2>

Laten we eens kijken naar de twee manieren waarop je xmlrpc.php in WordPress kunt uitschakelen.<\/p>

1. xmlrpc.php met een plug-in uitschakelen<\/strong><\/h3>

Je kunt XML-RPC op je WordPress site eenvoudig met een plug-in uitschakelen.

Ga in je WordPress dashboard naar het menu Plug-ins → Nieuwe toevoegen<\/strong>. Zoek naar Disable XML-RPC-API<\/a> en installeer het. Zodra je de plug-in activeert, wordt XML-RPC automatisch uitgeschakeld. Houd er wel rekening mee dat andere aanwezige plug-ins onderdelen van XML-RPC kunnen gebruiken, dus het volledig uitschakelen van XML-RPC kan een plug-in conflict veroorzaken, of ervoor zorgen dat bepaalde elementen van je site niet meer werken.<\/p>

2. xmlrpc.php handmatig uitschakelen<\/strong><\/h3>

Als je xmlrpc.php<\/strong> liever handmatig verwijdert, kun je de volgende methode gebruiken om alle inkomende xmlrpc.php-verzoeken<\/strong> te blokkeren, voordat ze WordPress bereiken.

Ga naar je .htaccess<\/strong>-bestand via Bestandsbeheer van je hosting controlepaneel of een FTP-client. Het kan zijn dat je de optie Verborgen bestanden weergeven<\/strong> moet aanzetten om dit bestand zichtbaar te maken. Plak je de volgende code in je .htaccess<\/strong>-bestand:<\/p>

# Block WordPress xmlrpc.php requests

<Files xmlrpc.php>

order deny,allow

deny from all

allow from xxx.xxx.xxx.xxx

<\/Files><\/pre>
\n\n\n
Belangrijk!<\/strong> Verander xxx.xxx.xxx.xxx in het IP-adres dat je toegang wilt geven tot xmlrpc.php<\/strong> of verwijder deze regel helemaal.<\/p><\/div>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n<\/p>
Conclusie<\/h2>
XML-RPC was ooit een solide hulpmiddel voor het publiceren op afstand op je WordPress site. Helaas bevatte het een aantal beveiligingslekken die voor sommige eigenaren van WordPress sites behoorlijk schadelijk zijn gebleken.<\/p>
Om er zeker van te zijn dat je site veilig blijft, is het ten zeerste aanbevolen om xmlrpc.php volledig uit te schakelen. Gebruik hiervoor een plug-in of bewerk het .htaccess<\/strong>-bestand handmatig.<\/p>\n","protected":false},"excerpt":{"rendered":"
WordPress heeft altijd al functies gehad waarmee je op afstand met je site kunt communiceren. Lange tijd werd dit opgelost met een bestand xmlrpc.php genaamd. De laatste jaren is het bestand echter meer een probleem dan een oplossing geworden. In dit artikel kijken we naar wat xmlrpc.php is en waarom het ooit werd gebruikt. We […]<\/p>\n
Read More…<\/a><\/p>\n","protected":false},"author":535,"featured_media":3106,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"rank_math_title":"Wat is xmlrpc.php in WordPress en waarom uitschakelen?","rank_math_description":"XML-RPC maakt externe verbindingen mogelijk. Het xmlrpc.php bestand brengt beveiligingsrisico\u2019s met zich mee. Ontdek wat het is en hoe je het uitschakelt.","rank_math_focus_keyword":"xmlrpc.php","footnotes":""},"categories":[16],"tags":[],"class_list":["post-3104","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wordpress"],"hreflangs":[{"locale":"en-US","link":"https:\/\/www.hostinger.com\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"pt-BR","link":"https:\/\/www.hostinger.com\/br\/tutoriais\/o-que-e-xmlrpc-php","default":0},{"locale":"fr-FR","link":"https:\/\/www.hostinger.com\/fr\/tutoriels\/xmlrpc-php","default":0},{"locale":"es-ES","link":"https:\/\/www.hostinger.com\/es\/tutoriales\/que-es-xmlrpc-php-wordpress-por-que-desactivarlo","default":0},{"locale":"id-ID","link":"https:\/\/www.hostinger.com\/id\/tutorial\/xmlrpc-php-wordpress","default":0},{"locale":"nl-NL","link":"https:\/\/www.hostinger.com\/nl\/tutorials\/xmlrpc-php-wordpress","default":0},{"locale":"ja-JP","link":"https:\/\/www.hostinger.com\/jp\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"ar-AE","link":"https:\/\/www.hostinger.com\/ae\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"en-UK","link":"https:\/\/www.hostinger.com\/uk\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"en-MY","link":"https:\/\/www.hostinger.com\/my\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"en-PH","link":"https:\/\/www.hostinger.com\/ph\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"es-MX","link":"https:\/\/www.hostinger.com\/mx\/tutoriales\/que-es-xmlrpc-php-wordpress-por-que-desactivarlo\/","default":0},{"locale":"es-CO","link":"https:\/\/www.hostinger.com\/co\/tutoriales\/que-es-xmlrpc-php-wordpress-por-que-desactivarlo\/","default":0},{"locale":"es-AR","link":"https:\/\/www.hostinger.com\/ar\/tutoriales\/que-es-xmlrpc-php-wordpress-por-que-desactivarlo\/","default":0},{"locale":"pt-PT","link":"https:\/\/www.hostinger.com\/pt\/tutoriais\/o-que-e-xmlrpc-php","default":0},{"locale":"en-IN","link":"https:\/\/www.hostinger.com\/in\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"en-CA","link":"https:\/\/www.hostinger.com\/ca\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"en-AU","link":"https:\/\/www.hostinger.com\/au\/tutorials\/xmlrpc-wordpress","default":0},{"locale":"en-NG","link":"https:\/\/www.hostinger.com\/ng\/tutorials\/xmlrpc-wordpress","default":0}],"acf":[],"_links":{"self":[{"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/posts\/3104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/users\/535"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/comments?post=3104"}],"version-history":[{"count":5,"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/posts\/3104\/revisions"}],"predecessor-version":[{"id":3110,"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/posts\/3104\/revisions\/3110"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/media\/3106"}],"wp:attachment":[{"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/media?parent=3104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/categories?post=3104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostinger.com\/nl\/tutorials\/wp-json\/wp\/v2\/tags?post=3104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}