WordPress hatte schon immer eingebaute Funktionen, mit denen Sie aus der Ferne mit Ihrer Site interagieren können. Seien Sie ehrlich, manchmal müssen Sie auf Ihre Website zugreifen und Ihr Computer befindet sich nirgendwo in der Nähe. Lange Zeit war die Lösung eine Datei namens xmlrpc.PHP. In den letzten Jahren ist die Datei jedoch eher zu einem Schädling als zu einer Lösung geworden.
Im Folgenden tauchen wir ein, was xmlrpc.php ist eigentlich und warum es geschaffen wurde. Wir geben auch einen Überblick über die häufigsten Sicherheitsprobleme, die dadurch verursacht werden, und darüber, wie Sie sie auf Ihrer eigenen WordPress-Site patchen können.
Bringen Sie Ihre WordPress-Site auf die nächste Stufe und erhalten Sie noch heute eine sichere WordPress-Hosting-Lösung mit Hostinger!
Hier geht’s los
Was ist Xmlrpc.php?
XML-RPC ist eine Funktion von WordPress, mit der Daten übertragen werden können, wobei HTTP als Transportmechanismus und XML als Codierungsmechanismus fungiert. Da WordPress kein in sich geschlossenes System ist und gelegentlich mit anderen Systemen kommunizieren muss, wurde dies gesucht, um diesen Job zu erledigen.
Angenommen, Sie möchten von Ihrem Mobilgerät aus auf Ihrer Website posten, da sich Ihr Computer nirgendwo in der Nähe befand. Sie können die von xmlrpc aktivierte Remotezugriffsfunktion verwenden.php, um genau das zu tun.
Die Kernfunktionen, die xmlrpc.mit PHP-fähigen Plugins können Sie über das Smartphone eine Verbindung zu Ihrer Site herstellen, Trackbacks und Pingbacks von anderen Sites implementieren sowie einige Funktionen, die mit dem Jetpack-Plugin verbunden sind.
Warum war Xmlrpc.php erstellt und wie wurde es verwendet?
Die Implementierung von XML-RPC geht auf die frühen Tage von WordPress zurück, bevor es überhaupt WordPress wurde.
In den frühen Tagen des Internets, als die Verbindungen unglaublich langsam waren, war der Prozess des Schreibens und Veröffentlichens im Web viel schwieriger und zeitaufwändiger. Anstatt im Browser selbst zu schreiben, würden die meisten Leute offline schreiben, dann ihre Inhalte kopieren und ins Web einfügen. Dennoch war dieser Prozess alles andere als ideal.
Die Lösung (damals) bestand darin, einen Offline-Blogging-Client zu erstellen, in dem Sie Ihre Inhalte verfassen und dann eine Verbindung zu Ihrem Blog herstellen konnten, um sie zu veröffentlichen. Diese Verbindung wurde über XML-RPC hergestellt. Mit dem grundlegenden Framework von XML-RPC verwendeten frühe Apps dieselbe Verbindung, um es Benutzern zu ermöglichen, sich von anderen Geräten aus bei ihren WordPress-Sites anzumelden.
XML-RPC >
Im Jahr 2008 gab es mit Version 2.6 von WordPress eine Option zum Aktivieren oder Deaktivieren von XML-RPC. Mit der Veröffentlichung der WordPress iPhone App wurde die XML-RPC-Unterstützung jedoch standardmäßig aktiviert, und es gab keine Option zum Deaktivieren der Einstellung. Dies ist bis heute wahr geblieben.
Die Funktionalität dieser Datei hat sich jedoch im Laufe der Zeit stark verringert, und die Gesamtgröße der Datei hat sich von 83 KB auf 3 KB verringert.
Die Zukunft von XML-RPC
Mit der neuen WordPress-API können wir erwarten, dass XML-RPC vollständig eliminiert wird. Heute befindet sich diese neue API noch in der Testphase und kann nur durch die Verwendung eines Plugins aktiviert werden.
Sie können jedoch erwarten, dass die API in Zukunft direkt in den WordPress-Kern codiert wird, wodurch der xmlrpc größtenteils überflüssig wird.PHP-Datei insgesamt.
Die neue API ist nicht perfekt, bietet jedoch eine robustere und sicherere Lösung für das Problem, das xmlrpc .php adressiert.
Warum Sie Xmlrpc deaktivieren sollten.php
Die größten Probleme mit XML-RPC sind die auftretenden Sicherheitsbedenken. Die Probleme beziehen sich nicht direkt auf XML-RPC, sondern darauf, wie die Datei verwendet werden kann, um einen Brute-Force-Angriff auf Ihre Site zu ermöglichen.
Sicher, Sie können sich mit unglaublich starken Passwörtern und WordPress-Sicherheits-Plugins schützen. Der beste Schutzmodus besteht jedoch darin, ihn einfach zu deaktivieren.
XML-RPC hat zwei Hauptschwächen, die in der Vergangenheit ausgenutzt wurden.
Der erste verwendet Brute-Force-Angriffe, um Zugang zu Ihrer Site zu erhalten. Ein Angreifer versucht, mithilfe von xmlrpc auf Ihre Site zuzugreifen.php mit verschiedenen Benutzernamen und Passwort-Kombinationen. Sie können effektiv einen einzigen Befehl verwenden, um Hunderte von verschiedenen Passwörtern zu testen. Auf diese Weise können sie Sicherheitstools umgehen, die normalerweise Brute-Force-Angriffe erkennen und blockieren.
Die zweite war, Websites durch einen DDoS-Angriff offline zu schalten. Hacker würden die Pingback-Funktion in WordPress verwenden, um sofort Pingbacks an Tausende von Websites zu senden. Diese Funktion in xmlrpc.php bietet Hackern einen nahezu endlosen Vorrat an IP-Adressen, über die sie einen DDoS-Angriff verteilen können.
Um zu überprüfen, ob XML-RPC auf Ihrer Site ausgeführt wird, können Sie es über ein Tool namens XML-RPC Validator ausführen. Wenn Sie eine Fehlermeldung erhalten, bedeutet dies, dass XML-RPC nicht aktiviert ist.
Wenn Sie eine Erfolgsmeldung erhalten, können Sie xmlrpc stoppen.php mit einem der beiden folgenden Ansätze.
Methode 1: Deaktivieren von Xmlrpc.php mit Plugins
Das Deaktivieren von XML-RPC auf Ihrer WordPress-Site könnte nicht einfacher sein.
Navigieren Sie einfach in Ihrem WordPress-Dashboard zum Abschnitt Plugins › Neue hinzufügen“. Suchen Sie nach Disable XML-RPC und installieren Sie das Plugin, das wie folgt aussieht:
Aktivieren Sie das Plugin und Sie sind fertig. Dieses Plugin fügt automatisch den erforderlichen Code ein, um XML-RPC auszuschalten.
Beachten Sie jedoch, dass einige vorhandene Plugins Teile von XML-RPC verwenden können, sodass das vollständige Deaktivieren zu einem Plugin-Konflikt führen kann oder bestimmte Elemente Ihrer Site nicht mehr funktionieren.
Wenn Sie nur bestimmte Elemente von XML-RPC deaktivieren möchten, aber dennoch bestimmte Plugins und Funktionen zulassen möchten, verwenden Sie stattdessen die folgenden Plugins:
- Stoppen Sie den XML-RPC-Angriff. Dieses Plugin stoppt alle XML-RPC-Angriffe, erlaubt aber weiterhin Plugins wie Jetpack und anderen automatischen Tools und Plugins, den Zugriff auf den xmlrpc zu behalten.PHP-Datei.
- XML-RPC-Veröffentlichung steuern. Auf diese Weise behalten Sie die Kontrolle und können die Remote-Veröffentlichungsoption von xmlrpc nutzen.PHP.
Methode 2: Deaktivieren von Xmlrpc.php Manuell
Wenn Sie kein Plugin verwenden möchten und es lieber manuell ausführen möchten, folgen Sie diesem Ansatz. Es stoppt alle eingehenden xmlrpc.PHP-Anfragen, bevor sie an WordPress weitergeleitet werden.
Öffnen Sie Ihre .htaccess-Datei. Möglicherweise müssen Sie die Option ‚Versteckte Dateien anzeigen‘ im Dateimanager oder in Ihrem FTP-Client aktivieren, um diese Datei zu finden.
In Ihrem .htaccess-Datei, fügen Sie den folgenden Code:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
Hinweis: Ändern Sie xxx.xxx.xxx.xxx in die IP-Adresse, die Sie für den Zugriff auf xmlrpc zulassen möchten.php oder entfernen Sie diese Zeile vollständig.
Abschließende Gedanken
Insgesamt war XML-RPC eine solide Lösung für einige der Probleme, die aufgrund der Remote-Veröffentlichung auf Ihrer WordPress-Site auftraten. Mit dieser Funktion kamen jedoch einige Sicherheitslücken, die für einige WordPress-Websitebesitzer ziemlich schädlich waren.
Um sicherzustellen, dass Ihre Website sicher bleibt, sollten Sie xmlrpc deaktivieren.php komplett. Es sei denn, Sie benötigen einige der Funktionen, die für das Remote-Publishing und das Jetpack-Plugin erforderlich sind. Dann sollten Sie die Workaround-Plugins verwenden, die diese Funktionen ermöglichen und gleichzeitig die Sicherheitslücken schließen.
Mit der Zeit können wir erwarten, dass die Funktionen von XML-RPC in die neue WordPress-API integriert werden, die den Fernzugriff und dergleichen beibehält, ohne die Sicherheit zu beeinträchtigen. In der Zwischenzeit ist es jedoch eine gute Idee, sich vor potenziellen XML-RPC-Sicherheitslücken zu schützen.