Updated September 8, 2024
Dieses schlanke, aber unabdingbare Plugin verwendet den integrierten WordPress-Filter „xmlrpc_enabled“, um die XML-RPC-API auf einer WordPress-Site zu deaktivieren.
Die XML-RPC WordPress-Spezifikation wurde vor „Ur-Zeiten“ entwickelt, um die Kommunikation zwischen verschiedenen elektronischen Systemen im Internet zu standardisieren. Andere Anwendungen außerhalb von WordPress, beispielsweise Blogging-Plattformen und Desktop-Clients, können dadurch mit WordPress interagieren.
Aber die Datei xmlrpc.php hat auch ihre Schattenseiten, sie kann Schwachstellen in deine WordPress Webseite einführen. Deshalb wurde sie durch die WordPress REST API ersetzt. Die Bandbreite der Systeme, mit denen die REST-API interagieren kann, ist erheblich größer als die der xmlrpc.php und auch viel flexibler.
Allerdings setzt WordPress auf Abwärtskompatibilität, weshalb diese Schnittstelle noch vorhanden und aktiv ist.
Warum sollte ich die xmlrpc.php deaktivieren?
Die xmlrpc.php ist oft ein Ziel von Hacker-Angriffen. Auf einer meiner Seiten werden über 95% der Angriffe über die xmlrpc.php gestartet, nicht über die wp-login.php
DDoS-Angriffe über XML-RPC-Pingbacks
Einige der Funktionen, die xmlrpc.php nutzen, sind Pingbacks und Trackbacks. Wenn XML-RPC auf der Webseite aktiviert ist, können Hacker eine DDoS-Attacke über die xmlrpc.php auf deine Webseite starten. Dies könnte schnell deinen Server überlasten und deine Webseite lahm legen.
Brute Force Angriffe über XML-RPC
Wenn ein Hacker genug Anfragen an deine Website sendet, jedes Mal mit einem anderen Benutzernamen- und Passwort-Paar, besteht die Möglichkeit dass er irgendwann die richtigen Zeichenfolgen erwischt, um Zugang zur Webseite zu erhalten. Dabei genügt das Raten des Passwortes, denn Benutzernamen findet er zur Genüge – es sind die Namen der Autoren von Beiträgen. Nennt ein Autor sich „Der Held“, muss der Hacker nur noch das Passwort durch Brute Force Angriffe heraus bekommen.
Aus diesem Grund solltest du xmlrpc.php deaktivieren. Sie erfüllt keinerlei nutzen und macht deine Webseite nur angreifbarer.
Wenn du schon dabei bist, die xmlrpc.php zu entfernen, solltest Du gleich die wp-login.php umbenennen.