XML-RPC-Schnittselle von WordPress deaktivieren

Ab der Version 3.5 von WordPress ist die XML-RPC Schnittstelle standardmäßig aktiviert. Bis zu dieser Version hattest Du im Backend von WordPress die Möglichkeit diese Schnittstelle per Option zu deaktivieren. Diese Option ist aber leider der Säuberungsmaßnahme des Codes zum Opfer gefallen und Du hast nicht mehr die Möglichkeit diese Schnittstelle zu deaktivieren. Genutzt wird diese Schnittstelle von den iOS- und Android-Apps für WordPress, für Pingbacks oder gar von Microsoft Word zum publizieren von Inhalten.

Da es bis 3.5 sehr einfach war die Schnittstelle zu deaktivieren, ist es schade, dass wir uns hier alternativen Vorgehensweisen bedienen müssen. Es gibt dafür einen Filter oder eine Möglichkeit diese per .htaccess-Datei zu deaktivieren. Wichtig ist diese Maßnahme vor allem, wenn Du die Schnittstelle nicht nutzt, damit Hacker, Bots und Spammer diese nicht auch nutzen können. Außerdem wird mit dieser Stellschraube der Webserver zusätzlich entlastet, denn jede Funktion, die nicht genutzt wird, muss ja nicht verfügbar sein.

XML-RPC per .htaccess blocken

Um die Schnittstelle per .htaccess-Datei auf dem Server zu blocken, musst Du einfach folgenden Befehl in der Datei einfügen und die Datei anschließend auf dem Server speichern:

Dadurch unterbindest Du versteckte Aufrufe und die Sicherheit wird erhöht.

XML-RPC per Filter in der functions.php deaktivieren

Eine weitere Möglichkeit besteht darin einen Filter über die functions.php Deines Themes zu setzen. Ich finde das allerdings unschön, da Du bei einem Theme-Wechsel den Filter erneut setzen und immer daran denken musst. Alternativ kannst Du den Filter in ein Plugin auslagern, dann ist es unabhängig von einem Theme-Wechsel und Du kannst das Plugin bei mehreren Projekten einsetzen. Folgenden Code-Schnipsel fügst Du also einfach in ein eigenes Plugin oder in die functions.php Deines Themes:

Hast Du alles korrekt eingefügt, ist die Schnittstellen ab diesem Zeitpunkt ebenfalls deaktiviert.

XML-RPC aus dem Header werfen

Optimieren und verschleiern, welches System Du einsetzt, kannst Du außerdem, indem Du die Information aus dem Header verbannst. Standardmäßig verrät WordPress leider viel zu einfach, welche Version man einsetzt und es befindet sich viel Müll im Header, der unnötigen Balast darstellt. Auch hier können wir WordPress entschlacken, indem Du folgenden Code in Deine functions.php einbaust. Auch hier kann gerne die Alternative mit einem eigenen Plugin genutzt werden:

Fazit: Sicherheit und Performance werden gesteigert

Nachdem man die Schnittstelle deaktiviert hat, haben wir damit nicht nur die Sicherheit erhöht, sondern etwas an der Performance geschraubt. Im Standard deaktivieren wir diese Schnittstelle in Kundenprojekten, denn diese wird in den seltensten Fällen genutzt.

Hast Du diese Möglichkeit bereits gekannt? Was kann man Deiner Meinung nach noch unternehmen, um seine Seite vor Einbrüchen zu schützen und sicherer und schneller zu machen?

Hinterlasse einen Kommentar

*

Nächster ArtikelVerschlüsseln von E-Mailadressen in Wordpress