0351 16056061 | info@stachowitz-medien.de
XML-RPC-Schnittstelle in WordPress schützen
Ab der WordPress-Version 3.5. ist die XML-RPC-Schnittelle in WorPress standardmäßig aktiviert. Diese Schnittstelle ermöglicht es, dass Angreifer automatische Anmeldeversuche auf deinem Blog oder deiner Website durchführen können. Deshalb sind solche Schnittstellen auch ein Sicherheitsrisiko und sollten schnell geschlossen werden. Wenn die XML-RPC-Schnittelle offen bleibt, können sich die Zugriffe auf deinen Blog und deine Website erhöhen. Dies führt auch dazu, dass die Performance in Mitleidenschaft gezogen wird.
Du solltest als Website- oder Blogbetreiber also umgehend handeln, indem du diese Schnittstelle schließt, sofern du sie nicht benötigst.
Zugriffe auf die XML-RPC-Schnittstelle komplett unterbinden
Um deine WordPress-Installation vor Angriffen zu schützen, solltest du den Zugriff auf die Datei xmlrpc.php via .htaccess komplett unterbinden.
Deaktivierung von XML-RPC via .htaccess:
</pre> <code><Files xmlrpc.php> Order Deny,Allow Deny from all </Files> </code>
Zugriffe auf XML-RPC einschränken
Wenn du die Schnittstelle auf dem Server nutzt, dann ist eine Deaktivierung nicht sinnvoll. Stattdessen solltest du nur bestimmte Zugriffe verbieten. Einzelne Clients solltest du dagegen erlauben.
Freigabe von XML-RPC für einzelne Clients via .htaccess:
</pre> <code><IfModule mod_setenvif.c> <Files xmlrpc.php> BrowserMatch "WordPress" allowed BrowserMatch "Windows Live Writer" allowed BrowserMatch "wp-iphone" allowed BrowserMatch "wp-android" allowed BrowserMatch "wp-windowsphone" allowed</code> <code>Order Deny,Allow Deny from All Allow from env=allowed </Files> </IfModule></code> <pre>
Nicht zwingend benötigte Freigaben solltest du zeitweise entfernen. Einen absoluten Schutz gibt es für diese Datei jedoch nicht. Du erschwerst lediglich die Zugriffsmöglichkeiten darauf. Der beste Schutz ist immer noch, wenn du die Datei mittels .htaccess deaktivierst. Wie das geht, habe ich oben bereits beschrieben.