WordPress Entwickler für Programmierung Ihrer Webprojekte
WordPress Entwickler für Programmierung Ihrer Webprojekte
  • Start
  • Unser Angebot
  • Blog
  • Kontakt
Avatar (Thumbnail) zum Blogeintrag

WordPress Sicherheit: XML-RPC deaktivieren

Zampano an der Tastatur: marcel | 4. Juni 2022

Angriff Angriffsziel api Apps sicherheit XML-RPC

Wofür benötige ich XML-RPC in WordPress?

Gar nicht!

Nun, so einfach ist das Ganze vielleicht doch nicht, aber in einer Vielzahl von Fällen wird es möglich sein XML-RPC zu deaktivieren, ohne große Funktionseinbußen zu haben.

Denn XML-RPC benötige ich dann wenn ich XML Daten über HTTP übertragen möchte. Ein Beispiel hierfür wäre das Erstellen von Beiträgen über das Smartphone, also über Apps. Und das ist meist auch schon der häufigste Grund der im Zusammenhang mit XML-RPC erwähnt wird. Also solange, ich keine externen XML Übertragungen auf meine Seite explizit zulassen will und eben auch den Smartphone Zugriff nicht benötige, kann ich umgehend eine Vielzahl von Sicherheitslücken schließen. Zudem bietet die WordPress REST API ohnehin die Möglichkeit auch extern mit meinem Server zu kommunizieren.

Nur in Ausnahmefällen benötige ich wirklich noch die XML Übertragung.

    Inhalt auf dieser Seite:

  1. Wofür benötige ich XML-RPC in WordPress?
  2. Sicherheitslücken
  3. Deaktivierung über htaccess

Sicherheitslücken

Die XML-RPC-API wurde immer schon offensiv als Angriffsziel verwendet.

XML-RPC bietet ein Risiko für Brute-Force Attacken, indem ich eine Vielzahl von Passwort/Benutzername Kombinationen in sehr kurzer Zeit testen kann.
Zudem wurde XML-RPC in Vergangenheit häufig für DDos Attacken genutzt, weil ich hier Pingbacks gezielt nutzen kann um den Server ans Ende der Kapazitäten zu bringen. Grund genug um dieses „Feature“ zu deaktivieren.

Telefon+436603100000
E-Mailsouri@wp-entwickler.at
AdresseWP-Entwickler
Safenauer-Straße 62,
8230 Hartberg

Deaktivierung über htaccess

Die beste und einfachste Methode ist die „Deaktivierung“ (besser gessagt der Zugriffsschutz) von xmlrpc.php über die htaccess Datei des Servers.

WordPress bietet keine native Möglichkeit um diese Datei zu deaktivieren. Dieses Code-Snippet kann für die eigene htaccess Datei verwendet werden um XML-RPC dauerhaft für alle zu deaktivieren

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Mit diesem simplen Trick ist deine WordPress Seite direkt besser geschützt vor vielen automatisierten Attacken!

Navigation

Start Unser Angebot Blog

Impressum & Kontakt

wp-entwickler.at wird betrieben von

  • wp-entwickler Rene Souri
  • UID: ATU60950509
  • Safenauer-Straße 62
  • 8230 Hartberg

Wir lieben WordPress und freuen uns, mit Ihnen ein Projekt entwickeln zu können!

  • Impressum
  • AGB

wp-entwickler.at ist eine indit.at Division