Navigate your digital Future with Internetgates

XMLRPC? – WordPress sichern!

XML-RPC in WordPress – absichern oder deaktivieren?

Die XML-RPC-Schnittstelle gehört seit vielen Jahren zu WordPress.
Sie ermöglicht bestimmte externe Zugriffe, gilt aber auch als potenzielle Schwachstelle. Ob XML-RPC benötigt wird oder besser deaktiviert werden sollte, hängt vom jeweiligen Einsatz der Website ab.

Was ist XML-RPC überhaupt?

XML-RPC ist eine Schnittstelle, über die externe Anwendungen mit WordPress kommunizieren können.
Ursprünglich wurde sie unter anderem genutzt für:

  • das Veröffentlichen von Beiträgen über externe Programme

  • mobile WordPress-Apps

  • bestimmte Fernzugriffe auf die Website

Heute wird XML-RPC im klassischen Website-Betrieb nur noch selten benötigt.

Warum gilt XML-RPC als Sicherheitsrisiko?

Die Schnittstelle selbst ist nicht grundsätzlich unsicher, wird aber häufig für Angriffe missbraucht, z. B.:

  • Brute-Force-Angriffe auf Login-Daten

  • massenhafte Authentifizierungsversuche

  • unnötige Serverlast durch automatisierte Anfragen

Gerade bei Websites ohne spezielle Anforderungen ist XML-RPC daher ein unnötiges Risiko.

Brauche ich XML-RPC heute noch?

In den meisten Fällen lautet die Antwort: nein.

XML-RPC kann meist deaktiviert werden, wenn:

  • keine mobile WordPress-App genutzt wird

  • keine externen Publishing-Tools im Einsatz sind

  • keine speziellen Plugins darauf angewiesen sind

Im Zweifel empfiehlt sich ein kurzer Test:
XML-RPC deaktivieren und prüfen, ob die Website weiterhin wie gewohnt funktioniert.

XML-RPC sicher deaktivieren

Es gibt mehrere Möglichkeiten, XML-RPC zu deaktivieren oder abzusichern.

Variante 1: Deaktivierung per Plugin

Einige Sicherheits-Plugins bieten eine einfache Option, XML-RPC vollständig zu deaktivieren.
Das ist komfortabel, bringt aber zusätzliche Abhängigkeiten mit sich.

Variante 2: Deaktivierung per Code (empfohlen)

Wer ohne Plugin arbeiten möchte, kann XML-RPC mit einer kleinen Code-Ergänzung deaktivieren.

Code-Beispiel (z. B. im Child Theme):

add_filter( 'xmlrpc_enabled', '__return_false' );

Damit wird die XML-RPC-Schnittstelle vollständig abgeschaltet.

Teilweise Absicherung statt kompletter Deaktivierung

In manchen Fällen kann es sinnvoll sein, XML-RPC nicht komplett zu deaktivieren, sondern den Zugriff einzuschränken, z. B.:

  • Schutz durch Server-Firewall

  • Einschränkung über Sicherheits-Plugins

  • Login-Versuche begrenzen

Welche Lösung sinnvoll ist, hängt vom konkreten Einsatz der Website ab.

Einordnung im Gesamtkonzept der WordPress-Sicherheit

XML-RPC ist nur ein Baustein der WordPress-Sicherheit.
Wichtiger sind:

  • aktuelle WordPress-Versionen

  • gepflegte Themes und Plugins

  • sichere Passwörter

  • regelmäßige Backups

👉 Eine Übersicht zu den grundlegenden Sicherheitsmaßnahmen findest du im Beitrag
„WordPress Sicherheit – Grundlagen & Best Practices“.

Fazit

Für die meisten WordPress-Websites ist XML-RPC heute nicht mehr erforderlich.
Wird die Schnittstelle nicht benötigt, sollte sie deaktiviert oder zumindest abgesichert werden, um unnötige Angriffsflächen zu vermeiden.

Eine bewusste Entscheidung ist dabei wichtiger als eine pauschale Lösung.

Cookie Consent with Real Cookie Banner