webgo Hilfe-Center

Häufige Fragen, von Experten beantwortet

Wie deaktiviere ich die XML-RPC-Schnittstelle in WordPress?

Warum die XML-RPC-Schnittstelle deaktivieren?

Die XML-RPC Schnittstelle wird von WordPress für verschiedene Zwecke genutzt, zum Beispiel für Pingbacks und zur Kommunikation mit externen Diensten oder Smartphone-Apps. Doch nicht jeder WordPress-Nutzer verwendet diese Dienste – so bleibt die XML-RPC-Schnittstelle bei den meisten WordPress-Installationen ungenutzt und stellt stattdessen sowohl ein Sicherheitsrisiko als auch eine Performance-Bremse dar.

Seit der WordPress-Version 3.5 ist die XML-RPC-Schnittstelle standardmässig aktiviert. Um sie zu deaktivieren sind einige kleine Kniffe nötig, da sich die Schnittstelle nicht direkt über das WordPress-Backend deaktivieren lässt. Bevor Sie die XML-RPC-Schnittstelle deaktieren, sollten Sie prüfen, ob auch wirklich kein Dienst, der für Ihre Webseite wichtig ist, die Schnittstelle benutzt.

So deaktivieren Sie die XML-RPC-Schnittstelle

Zunächst deaktivieren Sie XML-RPC direkt für WordPress, indem Sie folgenden Code in die "functions.php" Ihres WordPress-Themes einfügen:

add_filter( 'xmlrpc_enabled', '__return_false' );

Der obige Code deaktiviert XML-RPC allerdings nur in WordPress selbst. im HTTP-Header Ihrer Webseite ist die Schnittstelle (wahrscheinlich) nach wie vor sichtbar – was es Hackern, Spammern und Bots ermöglicht, Informationen abzufragen, die gar nicht dafür gedacht sind.

So entfernen Sie XML-RPC aus dem HTTP-Header

Ob XML-RPC noch im HTTP-Header Ihrer Webseite auftaucht, können Sie ganz einfach prüfen, indem Sie Ihre Webseite mit einem Tool wie zum Beispiel Redbot aufrufen. Geben Sie Ihre URL ein und schauen prüfen Sie, welche Informationen im HTTP-Header angezeigt werden. Wenn eine der Zeilen "X-Pingback und xmlrpc.php" enthält, wissen Sie, dass XML-RPC noch nicht deaktiviert ist.

Um XML-RPC auch aus dem HTTP-Header zu entfernen, fügen noch folgenden Code zur "functions.php" in Ihrem WordPress-Theme hinzu.

add_filter( 'wp_headers', 'remove_pingback' );
 function remove_pingback( $headers )
 {
 unset( $headers['X-Pingback'] );
 return $headers;
 }

So wird der direkte Pfad zur XML-RPC-Schnittstelle verborgen bzw. geblockt.

Abschließend: Performance verbessern

Um nun noch leicht die Performance Ihrer Webseite zu verbessern, können Sie folgenden Code in die .htaccess-Datei Ihrer WordPress-Installation einfügen:

<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
 </Files>

Damit wird verhindert, dass WordPress intern auf die für die XML-RPC zuständige Datei zugreifen kann und reduziert somit die Zahl unnötiger Dateizugriffe.

WordPress-Tipps zu Sicherheit und Geschwindigkeit

Grundsätzlich gilt: alles, was Sie in Ihrer WordPress-Installation nicht benötigen, sollten Sie auch entfernen oder deaktivieren. Je mehr Traffic Ihre Webseite hat, desto wichtiger ist es, dass nur die nötigsten Komponenten verwendet werden. So lädt Ihre Seite für Ihre Besucher immer mit maximaler Geschwindigkeit und die halten zugleich Angreifer und Spam-Bots ab, indem Sie diesen möglichst wenige Angriffspunkte bieten.

Tags: Sicherheit, WordPress

webgo Experten-Support

365 Tage im Jahr für Sie da!

040/605900399 Telefon-Support
online
Persönlich erreichbar: Montag–Freitag: 9–20 Uhr, Samstag, Sonntag und Feiertags: 11–18 Uhr