WordPress: XML-RPC Schnittstelle (xmlrpc.php) deaktivieren

Sicherheit
WordPress: XML-RPC Schnittstelle (xmlrpc.php) deaktivieren

Wie kann man die WordPress-eigene XML-RPC Schnittstelle (xmlrpc.php) deaktivieren? Wie das funktioniert und warum die Abschaltung sinnvoll ist, erklären wir in diesem Artikel.

Was ist eine XML-RPC Schnittstelle?

XML-RPC gibt es bereits seit 1998 und steht für Extensible Markup Language Remote Procedure Call. Einfach ausgedrückt, handelt es sich dabei um eine Protokollspezifikation für die Ausführung von RPC-Calls (Remote-Aufrufe in Computer-Netzwerken) mit XML und HTTP.

Auch WordPress nutzt XML-RPC und das übrigens bereits seit 2003. Zu diesem Zeitpunkt hieß WordPress noch b2 und war eine reine Blogging-Software. Bei WordPress ist bzw. war die XML-RPC Schnittstelle für verschiedene Aufgaben zuständig. Zum einen für die Kommunikation zwischen WordPress und anderen Blogging-Plattformen mittels Trackbacks und Pingbacks, zum anderen ist die Schnittstelle für die Kommunikation zwischen WordPress-System und WordPress Smartphone-App.

Letztgenanntes Anwendungsszenario ist übrigens auch der Grund, weshalb die XML-RPC Schnittstelle „ab Werk“ immer aktiviert ist. Noch vor WordPress Version 3.5 war dem nämlich nicht so. Zu diesem Zeitpunkt gab es aber auch noch keine Smartphone-App. Inzwischen hat die XML-RPC Schnittstelle ausgedient. Der Nachfolger ist die WordPress-eigene REST API, die deutlich flexibler, sicher und funktionsreicher ist. Der wohl einzige Grund, weshalb man die xmlrpc.php nicht schon gänzlich aus dem System entfernt hat, ist die Abwärtskompatibilität von WordPress. Aus diesem Grund müssen Webmaster selbst tätig werden — oder sie beauftragen ihren WordPress Programmierer damit.

Warum sollte ich die xmlrpc.php deaktivieren?

Die Gründe, warum die XML-RPC Schnittstelle unbedingt abgeschaltet werden sollte, liegen auf der Hand: Zum einen wird die Schnittstelle nicht mehr benötigt, wie bereits erwähnt. Eigentlich schon Grund genug.

Darüber hinaus ist das Thema Sicherheit und xmlrpc.php immer wieder präsent — leider nutzen Angreifer die Schnittstelle regelmäßig für Angriffe aller Art — DDoS Attacken und Brute Force Angriffe sind keine Seltenheit.

Das sollten genug Gründe sein, der xmlrpc.php den Garaus zu machen, oder?

XML-RPC Schnittstelle unter WordPress deaktivieren

Zunächst einmal sollte man überprüfen, ob die XML-RPC Schnittstelle überhaupt noch aktiv ist oder möglicherweise bereits deaktiviert wurde. Das lässt sich ganz einfach bewerkstelligen. Wir empfehlen dazu die Nutzung dieses Online-Tools: https://xmlrpc.eritreo.it/

Sofern hier die Meldung erscheint, dass die Schnittstelle noch aktiv ist, müssen die nächsten Schritte befolgt werden. Erhält man nach der Validation die Information, dass die Schnittstelle bereits inaktiv ist, muss man an dieser Stelle nicht mehr weiterlesen.

Wie so oft gibt es auch für die Deaktivierung von XML-RPC verschiedene Mittel und Wege. Konkret kann man die XML-RPC Schnittstelle entweder mittels Plugin deaktivieren oder aber in der .htaccess Datei. Wir empfehlen letztgenannte Möglichkeit.

Wie man xmlrpc.php mit einem Plugin abschalten

Der einfachste und schnellste Weg zur Deaktivierung der Schnittstelle geht über ein Plugin. Dieses hört auf den Namen „Disable XML-RPC“ und ist kostenlos im WordPress Plugin Pool erhältlich. Einfach installieren und aktivieren, dann ist die Schnittstelle deaktiviert.

Wie man xmlrpc.php ohne Plugin deaktiviert

Grundsätzlich sollte man immer so wenige Plugins wie nur nötig installieren. Daher empfehlen wir die Deaktivierung ohne Plugin, mittels .htaccess Datei oder über die functions.php.

Über die .htaccess Datei muss lediglich folgender Code integriert werden, wodurch der Zugriff auf die xmlrpc.php vom Server blockiert wird. Eine .htaccess Datei gibt es lediglich bei Apache Webservern. Wird nginx verwendet, empfehlen wir den Provider zu kontaktieren oder die nachstehende Filter-Lösung zu verwenden.

Über die functions.php des gegenwärtig verwendeten WordPress-Themes kann die Schnittstelle mittels Filter abgeschaltet werden.

Fazit zur WordPress xmlrpc.php

Die XML-RPC-Spezifikation ist alles andere als zeitgemäß. Das ist auch der Grund für die vielen Sicherheitsprobleme, die damit einhergehen können. Aus diesem Grund sollte die Schnittstelle immer deaktiviert werden, wenn man sie nicht benötigt. Es gibt durchaus noch Szenarien, in denen die Schnittstelle nicht abgeschaltet werden kann. Zum Beispiel, wenn WordPress noch älter als Version 4.4 ist und damit noch keine alternative REST API zur Verfügung steht. In diesem Fall empfehlen wir dringend die Wartung des WordPress-Systems.



Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.