XML-RPC in WordPress deaktivieren

WordPress bietet im Standard eine XML-RPC-Schnittstelle, die dazu missbraucht werden kann, tausende Passwörter in kurzer Zeit zu überprüfen. Das sind beste Voraussetzungen, die mittels Brute Force Attacke Kennwörter generieren und auf Gültigkeit prüfen.

Um das zu verhindern lässt sich die XML-RPC-Schnittstelle mit Hilfe von folgender Code-Zeile deaktivieren:

add_filter( 'xmlrpc_enabled', '__return_false' );

Dadurch wird die XML-RPC-Schnittstelle nicht komplett deaktiviert, aber alle Aufrufe, die eine Authentifizierung voraussetzen (über die die Gültigkeit von Kennwörtern geprüft werden kann) werden dadurch inaktiv.

Eine Alternative besteht im Deaktivieren des Aufrufs von xmlrcp.php durch den Webserver. Für den Apache-Webserver sähe ein entsprechender .htaccess-Eintrag wie folgt aus:

# Block xmlrpc.php requests
<Files xmlrpc.php>
  order deny,allow
  deny from all
</Files>

Auf diese Weise gelangen die Requests gar nicht erst bis an WordPress heran, da der Webserver diese direkt abweist.

Schreibe einen Kommentar