Wie man xmlrpc.php in WordPress deaktiviert

Die Datei xmlrpc.php in WordPress kann ein Sicherheitsrisiko darstellen, wenn sie nicht benötigt wird, aber mit dem richtigen Ansatz ist sie zu handhaben. Dieser Leitfaden erklärt den Zweck der Datei, warum sie ein Problem darstellt und wie Sie sie deaktivieren können, um Ihre Website zu sichern und gleichzeitig die Leistung zu erhalten. Anhand praktischer Beispiele und Tipps erfahren Sie, wie Sie Ihre WordPress-Website effektiv schützen können.

Was ist xmlrpc.php?

Die Datei xmlrpc.php ist eine Kernkomponente von WordPress, die die Remote-Kommunikation zwischen Ihrer WordPress-Website und externen Anwendungen ermöglicht. Sie verwendet das XML-RPC-Protokoll zum Senden von Daten und ermöglicht so Funktionen wie:

  • Fernveröffentlichung von Inhalten über die WordPress Mobile App oder externe Blogging-Tools

  • Trackbacks und Pingbacks

  • Jetpack und andere Plugin-Funktionen, die auf Fernzugriff angewiesen sind

In früheren Versionen von WordPress (vor der REST-API) war die Datei xmlrpc.php unerlässlich, um Remote-Operationen zu ermöglichen. Inzwischen ist die REST-API jedoch die moderne und sicherere Alternative.

Warum ist xmlrpc.php ein Sicherheitsproblem?

Obwohl xmlrpc.php legitimen Zwecken dient, wurde es oft für bösartige Aktivitäten ausgenutzt, insbesondere wenn es nicht richtig abgesichert ist. Zu den häufigsten Bedrohungen gehören:

  • Brute-force-Angriffe: Hacker können damit Tausende von Kombinationen aus Benutzernamen und Kennwort in einer einzigen Anfrage ausprobieren.

  • DDoS-Angriffe: Die Datei kann missbraucht werden, um Pingbacks von Ihrer Website an andere zu senden, was zu verteilten Denial-of-Service-Angriffen führt.

  • Schwachstellen bei der Remote-Code-Ausführung: Ältere oder schlecht konfigurierte Versionen von WordPress könnten gefährdet sein.

Wenn Sie keine Dienste oder Plugins verwenden, die auf xmlrpc.php angewiesen sind, ist es im Allgemeinen eine gute Idee, sie zu deaktivieren.

So deaktivieren Sie xmlrpc.php

1. Ein Plugin verwenden

Der einfachste Weg, xmlrpc.php zu deaktivieren, ist mit einem Sicherheits-Plugin wie

  • Wordfence Sicherheit

  • XML-RPC deaktivieren

  • All In One WP Sicherheit & Firewall

Diese Plugins ermöglichen es, den Zugriff auf die Datei mit einem Klick zu deaktivieren.

2. Deaktivierung über .htaccess

Wenn Sie einen Apache-Server verwenden, können Sie den Zugriff auf die Datei xmlrpc.php blockieren, indem Sie diese Regel zu Ihrer .htaccess-Datei im Stammverzeichnis hinzufügen:


Befehl Verweigern,Erlauben
Von allen verweigern

3. Nginx verwenden

Bei Nginx-Servern fügen Sie Folgendes in Ihre Konfigurationsdatei ein:

location = /xmlrpc.php {
alleverweigern;
access_log aus;
log_not_found aus;
}

4. Deaktivierung über functions.php (eingeschränkt)

Sie können einige xmlrpc-Methoden auch deaktivieren, indem Sie die folgende Zeile in die functions.php Ihres Themes einfügen:

add_filter('xmlrpc_enabled', '__return_false');

Hinweis: Dies verhindert nicht den Zugriff auf die Datei, sondern deaktiviert nur die Funktionalität.

Wann sollten Sie es aktiviert lassen?

Sie müssen xmlrpc.php möglicherweise aktiviert lassen, wenn:

  • Sie die WordPress Mobile App für die Veröffentlichung verwenden

  • Sie Jetpack oder andere Remote-Publishing-Tools verwenden

  • Ihre Website mit Altsystemen oder Anwendungen integriert ist, die XML-RPC benötigen

Achten Sie in diesen Fällen auf Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung, sichere Passwörter und Ratenbegrenzung.

Zusätzliche Tipps

  • Sichern Sie zuerst: Sichern Sie immer Ihre Website, bevor Sie Dateien wie .htaccess oder functions.php ändern

  • Funktionalität testen: Testen Sie nach der Deaktivierung Funktionen wie Jetpack oder Mobile Publishing, um Unterbrechungen zu vermeiden

  • Überwachen Sie Angriffe: Verwenden Sie Plugins wie Wordfence, um fehlgeschlagene Anmeldeversuche mit dem Ziel xmlrpc.php zu verfolgen

  • REST-API-Alternative: Migrieren Sie auf die WordPress REST API für moderne Integrationen und verringern Sie die Abhängigkeit von xmlrpc.php

Schlussfolgerung

Die Deaktivierung von xmlrpc.php ist ein kluger Schritt, um Ihre WordPress-Site zu sichern, wenn Sie die Fernzugriffsfunktionen nicht benötigen. Durch die Verwendung von Plugins, .htaccess, Nginx-Regeln oder functions.php können Sie Schwachstellen blockieren, während Ihre Website schnell und zuverlässig bleibt. Die Beispiele und Tipps stellen sicher, dass Sie diese Änderungen sicher implementieren und testen können, um die Sicherheit zu erhöhen, ohne die Funktionalität zu beeinträchtigen.