Seit WordPress Version 3.5 ist die XML-RPC Schnittstelle in WordPress standardmäßig aktiviert. Die Schnittstelle stellt nicht nur nützliche Funktionen bereit, sondern dient auch als ein wichtiges Angriffsziel für Hacker. Die Angreifer nutzen immer mehr die xmlrpc.php für ihre Brute-Force-Angriffe gegen WordPress.
Die Schnittstelle ist ein nützliches Werkzeug für die Verwaltung von Inhalten. Sie dient dazu, dass man mittels der Desktop– und der Smartphone-Apps die Website verwalten und Artikel verfassen kann. Ebenso kümmert sie sich um Pingbacks. Die Pingback-API ermöglicht eine Art »Vernetzung« zwischen den Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programmen verwalten zu können.
Wer diese Schnittstelle nicht braucht und auch auf die Pingbacks verzichten kann:
XML-RPC abschalten in zwei Schritten:
1. In der functions.php XMLRPC abschalten und gleichzeitig auch die Meldung im HTTP-Header unterdrücken:
<?php
/* Die XMLRPC-Schnittstelle komplett abschalten */
add_filter( ‚xmlrpc_enabled‘, ‚__return_false‘ );
/* Den HTTP-Header vom XMLRPC-Eintrag bereinigen */
add_filter( ‚wp_headers‘, ‚AH_remove_x_pingback‘ );
function AH_remove_x_pingback( $headers )
{
unset( $headers[‚X-Pingback‘] );
return $headers;
}
2. Zugriff auf xmlrpc-php in der .htaccess verbieten, direkt vor dem „# BEGIN WordPress“:
#XML-RPC Schnittstelle abschalten
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
ODER:
Als Kunde von InternetGates konfigurieren Sie mit zwei Mausklicks eines der Plugins, das wir standardmässig mitliefern um mehr Sicherheit zu erreichen.
Happy Surfing…
Ihr InternetGates-Team
