Ab der WordPress-Version 3.5. ist die XML-RPC-Schnittelle in WorPress standardmäßig aktiviert. Diese Schnittstelle ermöglicht es, dass Angreifer automatische Anmeldeversuche auf deinem Blog oder deiner Website durchführen können. Deshalb sind solche Schnittstellen auch ein Sicherheitsrisiko und sollten schnell geschlossen werden. Wenn die XML-RPC-Schnittelle offen bleibt, können sich die Zugriffe auf deinen Blog und deine Website erhöhen. Dies führt auch dazu, dass die Performance in Mitleidenschaft gezogen wird.

Du solltest als Website- oder Blogbetreiber also umgehend handeln, indem du diese Schnittstelle schließt, sofern du sie nicht benötigst.

Zugriffe auf die XML-RPC-Schnittstelle komplett unterbinden

Um deine WordPress-Installation vor Angriffen zu schützen, solltest du den Zugriff auf die Datei  xmlrpc.php via .htaccess komplett unterbinden.

Deaktivierung von XML-RPC via .htaccess:

</pre>

<code><Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files> </code>

Zugriffe auf XML-RPC einschränken

Wenn du die Schnittstelle auf dem Server nutzt, dann ist eine Deaktivierung nicht sinnvoll. Stattdessen solltest du nur bestimmte Zugriffe verbieten. Einzelne Clients solltest du dagegen erlauben.

Freigabe von XML-RPC für einzelne Clients via .htaccess:

</pre>

<code><IfModule mod_setenvif.c>
<Files xmlrpc.php>
BrowserMatch "WordPress" allowed
BrowserMatch "Windows Live Writer" allowed
BrowserMatch "wp-iphone" allowed
BrowserMatch "wp-android" allowed
BrowserMatch "wp-windowsphone" allowed</code>

<code>Order Deny,Allow
Deny from All
Allow from env=allowed
</Files>
</IfModule></code>
<pre>

Nicht zwingend benötigte Freigaben solltest du zeitweise entfernen. Einen absoluten Schutz gibt es für diese Datei jedoch nicht. Du erschwerst lediglich die Zugriffsmöglichkeiten darauf. Der beste Schutz ist immer noch, wenn du die Datei mittels .htaccess deaktivierst. Wie das geht, habe ich oben bereits beschrieben.