XML-RPC Schnittstelle in WordPress schließen

Vor Kurzem wurde ich mit einer Sicherheitslücke in WordPress konfrontiert. Angreifer haben Schadcode über die XML-RPC Schnittsteppe in mehrere WordPress Installationen eingespeist. Sämtliche Seiten haben beim ersten Aufruf auf Werbe-Seiten weitergeleitet und damit Geld für den Verursacher generiert.

In diesem Beitrag zeige ich dir, wie du die XML-RPC Schnittstelle in wenigen Schritten deaktivierst.

Wofür wird die XML-RPC Schnittstelle verwendet?

Die Schnittstelle hat zwei Aufgaben. Zum einen können externe Programme, wie z.B. die WordPress App auf deinem Smartphone, damit dein WordPress System verwalten. Zum anderen ermöglicht sie die Überwachung fremder Seiten mit Pingbacks.

Folgende APIs werden dabei unterstützt:

  • WordPress API
  • Pingback API
  • Blogger API
  • Movable Type API

Möchtest du nicht auf eine der damit verbundenen Funktionen verzichten, musst du die Schnittstelle wohl oder übel offen lassen.

So deaktivierst du die XML-RPC Schnittstelle

1. XML-RPC Schnittstelle über Filter abschalten

Als erstes wird die Schnittstelle geschlossen. Du kannst diesen Code in deiner functions.php, besser aber noch in ein Plugin einfügen.

add_filter( 'xmlrpc_enabled', '__return_false' );

2. HTTP-Header Eintrag entfernen

Danach wird die Anzeige der blockierten Schnittstelle unterbunden. Auch dieser Code kann unterhalb des vorherigen Code Schnipsels eingefügt werden.

function wps_remove_x_pingback( $headers ) {
	unset( $headers['X-Pingback'] );
	return $headers;
}
add_filter( 'wp_headers', 'wps_remove_x_pingback' );

3. Zugriff auf XML-RPC PHP-Datei über .htaccess verweigern

Zum Schluss blockierst du den direkten Zugriff auf die XML-RPC PHP-Datei. Hierzu musst du an die .htaccess anpassen. Du findest sie im Domain Root deines Servers.

Fertige vor der Bearbeitung unbedingt eine Sicherungskopie an, damit du nicht versehentlich deine Seite beschädigst.

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Das war’s auch schon. Wenn du die Möglichkeit hast, wende zumindest die ersten beiden Schritte an, um dir unnötigen Ärger zu ersparen.

Teile diesen Beitrag