Warum die XML-RPC-Schnittstelle deaktivieren?
Die XML-RPC Schnittstelle wird von WordPress für verschiedene Zwecke genutzt, zum Beispiel für Pingbacks und zur Kommunikation mit externen Diensten oder Smartphone-Apps. Doch nicht jeder WordPress-Nutzer verwendet diese Dienste – so bleibt die XML-RPC-Schnittstelle bei den meisten WordPress-Installationen ungenutzt und stellt stattdessen sowohl ein Sicherheitsrisiko als auch eine Performance-Bremse dar.
Seit der WordPress-Version 3.5 ist die XML-RPC-Schnittstelle standardmässig aktiviert. Um sie zu deaktivieren sind einige kleine Kniffe nötig, da sich die Schnittstelle nicht direkt über das WordPress-Backend deaktivieren lässt. Bevor Sie die XML-RPC-Schnittstelle deaktieren, sollten Sie prüfen, ob auch wirklich kein Dienst, der für Ihre Webseite wichtig ist, die Schnittstelle benutzt.
So deaktivieren Sie die XML-RPC-Schnittstelle
Zunächst deaktivieren Sie XML-RPC direkt für WordPress, indem Sie folgenden Code in die "functions.php" Ihres WordPress-Themes einfügen:
add_filter( 'xmlrpc_enabled', '__return_false' );
Der obige Code deaktiviert XML-RPC allerdings nur in WordPress selbst. im HTTP-Header Ihrer Webseite ist die Schnittstelle (wahrscheinlich) nach wie vor sichtbar – was es Hackern, Spammern und Bots ermöglicht, Informationen abzufragen, die gar nicht dafür gedacht sind.
So entfernen Sie XML-RPC aus dem HTTP-Header
Ob XML-RPC noch im HTTP-Header Ihrer Webseite auftaucht, können Sie ganz einfach prüfen, indem Sie Ihre Webseite mit einem Tool wie zum Beispiel Redbot aufrufen. Geben Sie Ihre URL ein und schauen prüfen Sie, welche Informationen im HTTP-Header angezeigt werden. Wenn eine der Zeilen "X-Pingback und xmlrpc.php" enthält, wissen Sie, dass XML-RPC noch nicht deaktiviert ist.
Um XML-RPC auch aus dem HTTP-Header zu entfernen, fügen noch folgenden Code zur "functions.php" in Ihrem WordPress-Theme hinzu.
add_filter( 'wp_headers', 'remove_pingback' );
function remove_pingback( $headers )
{
unset( $headers['X-Pingback'] );
return $headers;
}
So wird der direkte Pfad zur XML-RPC-Schnittstelle verborgen bzw. geblockt.
Abschließend: Performance verbessern
Um nun noch leicht die Performance Ihrer Webseite zu verbessern, können Sie folgenden Code in die .htaccess-Datei Ihrer WordPress-Installation einfügen:
<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
Damit wird verhindert, dass WordPress intern auf die für die XML-RPC zuständige Datei zugreifen kann und reduziert somit die Zahl unnötiger Dateizugriffe.
WordPress-Tipps zu Sicherheit und Geschwindigkeit
Grundsätzlich gilt: alles, was Sie in Ihrer WordPress-Installation nicht benötigen, sollten Sie auch entfernen oder deaktivieren. Je mehr Traffic Ihre Webseite hat, desto wichtiger ist es, dass nur die nötigsten Komponenten verwendet werden. So lädt Ihre Seite für Ihre Besucher immer mit maximaler Geschwindigkeit und die halten zugleich Angreifer und Spam-Bots ab, indem Sie diesen möglichst wenige Angriffspunkte bieten.
Tags: Sicherheit, WordPress