Wie und warum man XMLRPC.PHP in WordPress aktivieren und deaktivieren kann
xmlrpc.php ist eine Datei in WordPress, die den Fernzugriff auf Ihre Website ermöglicht. Sie ermöglicht es externen Anwendungen wie mobilen Apps, Tools von Drittanbietern und Pingbacks, mit Ihrer WordPress-Website zu interagieren. Diese Funktion kann zwar nützlich sein, birgt aber auch Sicherheitsrisiken, weshalb sich viele WordPress-Site-Besitzer dafür entscheiden, xmlrpc.php zu deaktivieren, wenn sie es nicht benötigen. In diesem Leitfaden erfahren Sie, was xmlrpc.php ist, warum Sie es möglicherweise aktivieren oder deaktivieren möchten und wie Sie dies sicher tun
Was ist xmlrpc.php in WordPress?
- xmlrpc.php ist eine WordPress-Kerndatei, die den Fernzugriff auf Ihre Website über das XML-RPC-Protokoll ermöglicht.
- Sie wird verwendet, um Aktionen auszuführen wie
- Veröffentlichen von Beiträgen aus entfernten Anwendungen.
- Kommentare aus der Ferne verwalten.
- Aktivieren von Pingbacks und Trackbacks.
- Verbindung von WordPress-Apps auf mobilen Geräten mit Ihrer Website.
- Beispielhafte Anwendungsfälle
- Veröffentlichung von Beiträgen von mobilen WordPress-Apps aus.
- Das Jetpack-Plugin verwendet xmlrpc.php für einige seiner Funktionen.
- Integration von Diensten Dritter, die XML-RPC für die Datenübertragung verwenden.
Warum sollten Sie xmlrpc.php deaktivieren?
xmlrpc.php kann Sicherheitsrisiken bergen, weshalb sich viele Website-Besitzer dafür entscheiden, es zu deaktivieren, insbesondere wenn sie keine Funktionen verwenden, die darauf angewiesen sind
Allgemeine Sicherheitsrisiken im Zusammenhang mit xmlrpc.php:
- Brute-Force-Angriffe
- Angreifer können xmlrpc.php nutzen, um Brute-Force-Angriffe durchzuführen, indem sie mehrere Benutzernamen und Passwörter über XML-RPC-Anfragen ausprobieren.
- Dies kann mit xmlrpc.php effizienter durchgeführt werden, da mit einer einzigen Anfrage mehrere Anmeldeversuche unternommen werden können.
- DDoS-Angriffe
- xmlrpc.php kann bei DDoS-Angriffen (Distributed Denial of Service) verwendet werden, um eine Website mit Pingback-Anfragen zu überschwemmen, was zur Erschöpfung der Ressourcen und zu Ausfallzeiten führt.
- Ausnutzung von Pingbacks
- Böswillige Akteure können die Pingback-Funktion in xmlrpc.php nutzen, um DDoS-Angriffe zu verstärken oder große Mengen an Spam zu erzeugen.
Wann sollten Sie xmlrpc.php aktivieren?
- Sie sollten xmlrpc.php aktiviert lassen, wenn
- Sie Beiträge über die WordPress-Mobil-App veröffentlichen müssen.
- Sie Plugins oder Tools verwenden, die auf XML-RPC angewiesen sind, wie z. B. Jetpack.
- Sie Remote-Publishing-Funktionen über externe Dienste benötigen.
Wenn Sie diese Funktionen nicht benötigen, ist es sicherer, xmlrpc.php zu deaktivieren, um Sicherheitsrisiken zu minimieren
So deaktivieren Sie xmlrpc.php in WordPress
Methode 1: Deaktivieren Sie xmlrpc.php mit einem Plugin (empfohlen)
Die Verwendung eines Plugins ist der einfachste Weg, xmlrpc.php zu deaktivieren, ohne irgendeinen Code zu berühren
Schritt 1: Installieren Sie ein Plugin
- Installieren Sie ein Sicherheits-Plugin wie Disable XML-RPC-API oder All In One WP Security & Firewall.
- Gehen Sie dazu in Ihrem WordPress-Dashboard auf Plugins > Neu hinzufügen, suchen Sie nach dem Plugin, und klicken Sie auf Jetzt installieren und dann auf Aktivieren.
Schritt 2: Konfigurieren Sie das Plugin
- Wenn Sie die XML-RPC-API deaktivieren
- Nach der Aktivierung des Plugins wird die Datei xmlrpc.php automatisch deaktiviert.
- Wenn Sie All In One WP Security & Firewall verwenden
- Gehen Sie zu WP Security > Firewall.
- Suchen Sie den Abschnitt XML-RPC und deaktivieren Sie die XML-RPC-Optionen.
Methode 2: Deaktivieren Sie xmlrpc.php mit .htaccess (Fortgeschrittene)
Wenn Sie mit der Bearbeitung der .htaccess-Datei vertraut sind, können Sie den Zugriff auf xmlrpc.php direkt auf Serverebene blockieren
Schritt 1: Bearbeiten Sie die .htaccess-Datei
- Greifen Sie über FTP oder den Dateimanager Ihres Webhosts auf das WordPress-Root-Verzeichnis zu (oft public_html genannt).
- Öffnen Sie die .htaccess-Datei zur Bearbeitung.
- Fügen Sie den folgenden Code am Ende der .htaccess-Datei ein# Blockieren Sie alle Zugriffe auf xmlrpc.php <Dateien xmlrpc.php> Order Allow,Deny Deny from all </Files>
- Speichern Sie die Änderungen und laden Sie die aktualisierte .htaccess-Datei zurück auf Ihren Server.
Ergebnis:
- Dieser Code verhindert jeglichen externen Zugriff auf xmlrpc.php und schaltet es damit effektiv aus.
Methode 3: Deaktivieren von xmlrpc.php über functions.php (Benutzerdefinierter Code)
Sie können XML-RPC auch über die Datei functions.php Ihres Themes deaktivieren
Schritt 1: Bearbeiten Sie functions.php
- Gehen Sie in Ihrem WordPress-Dashboard zu Erscheinungsbild > Theme-Editor.
- Wählen Sie die Datei functions.php in der rechten Seitenleiste aus.
- Fügen Sie den folgenden Code ein// Deaktivieren Sie XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
- Klicken Sie auf Datei aktualisieren, um die Änderungen zu speichern.
Ergebnis:
- Mit diesem Code wird die XML-RPC-Funktionalität in WordPress deaktiviert.
Methode 4: Verwendung der Sicherheitseinstellungen Ihres Webhosts
Einige Webhoster bieten Optionen zur Deaktivierung von XML-RPC über ihr Control Panel an
- Melden Sie sich bei Ihrem Webhosting-Konto an.
- Suchen Sie nach Optionen, die sich auf die Sicherheits- oder Anwendungseinstellungen von WordPress beziehen.
- Falls verfügbar, deaktivieren Sie den XML-RPC-Zugriff über das Sicherheits-Panel.
So aktivieren Sie xmlrpc.php in WordPress
Wenn Sie xmlrpc.php zuvor deaktiviert haben und es wieder aktivieren möchten, kehren Sie einfach die Schritte um, die Sie zum Deaktivieren verwendet haben
- Wenn Sie ein Plugin wie Disable XML-RPC-API verwendet haben, deaktivieren oder deinstallieren Sie das Plugin.
- Wenn Sie Code zu .htaccess oder functions.php hinzugefügt haben, entfernen Sie den Code und speichern Sie die Änderungen.
- Wenn Sie XML-RPC über Ihren Webhoster deaktiviert haben, verwenden Sie das Hosting-Kontrollpanel, um den XML-RPC-Zugriff wieder zu aktivieren.
Zusammenfassung
In WordPress ermöglicht die Datei xmlrpc.php den Fernzugriff und die Interaktion zwischen Ihrer Website und externen Anwendungen oder Diensten. Dies kann für Funktionen wie die Veröffentlichung von mobilen Anwendungen oder die Verbindung mit Tools von Drittanbietern praktisch sein. Da sie jedoch einen zusätzlichen Zugangspunkt zu Ihrer Website schafft, wird sie oft zum Ziel von Brute-Force-Versuchen, Spam und sogar DDoS-Angriffen. Um diese Risiken zu minimieren, entscheiden sich viele Website-Besitzer dafür, die xmlrpc.php zu deaktivieren, wenn sie ihre Funktionen nicht aktiv nutzen. Dies kann durch verschiedene Methoden erreicht werden, z. B. durch die Installation eines speziellen Sicherheits-Plugins, das Hinzufügen von Regeln zur .htaccess-Datei oder das Ändern der functions.php-Datei in Ihrem Thema. Mit jeder dieser Methoden haben Sie die Kontrolle darüber, ob der Fernzugriff erlaubt ist, und können so die Sicherheit Ihrer Website insgesamt erhöhen. Wenn Sie beispielsweise eine einfache Zeile wie deny from all in eine .htaccess-Direktive einfügen, die auf xmlrpc.php abzielt, können Sie den externen Zugriff auf diese Datei sofort blockieren. Wenn Sie irgendwann eine Remote-Veröffentlichung oder eine App-Integration benötigen, kann die Änderung leicht wieder rückgängig gemacht werden. Wenn Sie wissen, wann Sie xmlrpc.php aktivieren oder deaktivieren müssen, können Sie sicherstellen, dass Ihre WordPress-Website sicher bleibt, ohne dass Sie auf die Funktionen verzichten müssen, die Sie tatsächlich benötigen.