Zum Inhalt wechseln
Dr. Web Logo seit 1997.
  • Agentur eintragen ✅
  • Ausschreibungen
  • Beste Agenturen
  • Jobs
  • Magazin
  • Newsletter 📩
  • Login
  • Kontakt
  • Sponsored Post
  • Werben 🎉
Menü
  • Agentur eintragen ✅
  • Ausschreibungen
  • Beste Agenturen
  • Jobs
  • Magazin
  • Newsletter 📩
  • Login
  • Kontakt
  • Sponsored Post
  • Werben 🎉
  • Werben
  • Gastbeitrag
  • Sponsored Post
  • Kontakt
  • Anmeldung
  • Newsletter
Suche
  • Beste Agenturen
  • Agentur-Standorte
    • Berlin

    • Bonn

    • Dortmund

    • Dresden

    • Duisburg

    • Düsseldorf

    • Essen

    • Frankfurt am Main

    • Freiburg

    • Hamburg

    • Hannover

    • Köln

    • Leipzig

    • München

    • Nürnberg

    • Stuttgart

    • Wien

    • Zürich

  • Ausschreibungen
  • Smarte Agenturköpfe
  • Magazin
Agentur eintragen →
Dr. Web Logo seit 1997.
  • Agentur finden
  • Ausschreibungen
  • Smarte Agenturköpfe
  • Magazin
Agentur eintragen →
Dr. Web » Tipps, Tricks & Tutorials » WordPress-Sicherheit: Die XML-RPC-Schnittstelle abschalten

WordPress-Sicherheit: Die XML-RPC-Schnittstelle abschalten

Facebook Icon. facebook Twitter Icon. twitter Xing Icon. xing Linkedin Icon. linkedin Whatsapp Icon. whatsapp
  • 12 Kommentare
Lesedauer: 4 Minuten
  • von Dr. Web Redaktion
  • 22. Januar 2016

Inhaltsverzeichnis

Seit der WordPress-Version 3.5 ist die XML-RPC-Schnittstelle standardmäßig aktiviert. Das wäre nicht weiter schlimm, wenn WordPress nicht das beliebteste Content Management System der Welt wäre. Denn die Schnittstelle stellt nicht nur nützliche Funktionen bereit, sondern dient auch als ein wichtiges Angriffsziel für Hacker. Die Angreifer nutzen immer mehr die xmlrpc.php für ihre Brute-Force-Angriffe gegen WordPress, weil ein Angriff gegen diese Schnittstelle wesentlich effizienter und mit weniger Aufwand als andere Methoden verbunden ist.

WordPress-Sicherheit: Die XML-RPC-Schnittstelle abschalten

Dazu dient die XML-RPC-Schnittstelle

Die xmlrpc.php

Die Schnittstelle ist ein nützliches Werkzeug für die Verwaltung von Inhalten. Sie dient dazu, dass man mittels der Desktop– und der Smartphone-Apps die Website verwalten und Artikel verfassen kann. Ebenso kümmert sie sich um Pingbacks. Die Pingback-API ermöglicht eine Art »Vernetzung« zwischen den Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programmen verwalten zu können. Unterstützt werden neben der WordPress API auch die Blogger API, die metaWeblog API, die Movable Type API, und die Pingback API.

Die meisten Nutzer brauchen diese Schnittstelle jedoch nicht, weil sie ihre Artikel direkt in WordPress verfassen. Und auf die Pingbacks von anderen Blogs könnte man durchaus verzichten.

Deshalb ist die xmlrpc.php ein Sicherheitsrisiko

Passwortgeschützte Bereiche sind ein beliebtes Angriffsziel. Auch die xmlrcp.php gehört zu diesen Bereichen. Da jedoch immer mehr Blogger den Adminbereich ihrer Website absichern, fokussieren sich die Angreifer nun auf die Verwaltungs-Schnittstelle und lassen ihre Brute-Force-Angriffe auf dieses Ziel laufen. Problematisch ist hierbei, dass sich die Angriffe auf die XML-RPC-Schnittstelle wesentlich effektiver ausführen lassen, als es bei einem Angriff auf den Adminbereich von WordPress der Fall wäre.

Mit den geeigneten Tools lassen sich bei nur einer Anfrage an die Schnittstelle unglaubliche 500 Passwörter unterbringen. Die Datei ermöglicht es den Angreifern, über Funktionsaufrufe an wp.getUsersBlogs oder wp.getComments Kombinationen von Benutzernamen und Passwort zu erproben. Sobald ein Hacker Benutzername und Passwort sendet, wird die xmlrpc.php entsprechende Rückmeldung geben, ob die Kombination korrekt ist oder nicht.

Das macht das Hacken einer WordPress-Installation über diesen Weg sehr effektiv und aussichtsreich. Somit stellt die zumeist ungenutzte Schnittstelle ein erhebliches Sicherheitsrisiko dar und sollte zügig abgeschaltet werden. Ein weiterer, eher genereller Vorteil des Abschaltens nicht genutzter Funktionen ist die Erhöhung der Performance einer Website.

Die XML-RPC-Schnittstelle abschalten

Seit der WordPress-Version 3.5 ist die XML-RPC Schnittstelle standardmäßig aktiviert. Früher liess sie sich noch ganz einfach deaktivieren, heute ist dies nur noch über Umwege möglich. Doch diese Umwege sind nicht zu schwierig. Insgesamt sind drei Schritte nötig, um die Schnittstelle komplett abzuschalten und sämtliche Anfragen an sie zu unterbinden.

Teil eins: Die Schnittstelle über einen Filter abschalten

Folgender Code muss in die functions.php des Themes eingetragen werden.

Ein Klick auf die Grafik öffnet das Gist bei GitHub
xml-rpc-filter

Die Schnittstelle ist nun komplett deaktiviert. Allerdings erscheint die Schnittstelle noch im HTTP-Header der Website.

Teil 2: Den HTTP-Header Eintrag deaktivieren

http-header

Was noch angezeigt wird, kann auch angefragt werden. Das stellt vielleicht kein Sicherheitsrisiko mehr dar, allerdings kann es durchaus die Performance der Website beeinträchtigen. Daher muss dieser Eintrag entfernt werden. Auch dieser Code-Schnipsel kommt in die functions.php eures Themes. Hier der vollständige Code mit dem Filter aus dem ersten Teil:

Ein Klick auf die Grafik öffnet das Gist bei GitHub
Die XMLRPC-Schnittstelle abschalten und den HTTP-Header entfernen

Teil 3: Die xmlrpc.php via .htaccess blocken

Solange unser WordPress noch Zugriff auf die xmlrpc.php hat, entstehen natürlich versteckte Zugriffe auf die Datei. Das kommt der Performance der Website nicht gerade zugute, also sollte die Datei noch einmal per .htaccess-Datei geblockt werden.

Wichtig vorab: vor jeder Änderung an der .htaccess, bitte ein Backup der Datei erstellen!

Ein Fehler bei einer Änderung der Datei kann eine nicht mehr funktionierende Website zur Folge haben. Zu beachten gilt ebenfalls, dass die .htaccess unter Mac OS X als Systemdatei gilt, aufgrund des Punktes vor dem Dateinamen. Das sorgt dafür, dass die Datei nicht angezeigt wird, sobald sie sich auf dem Desktop befindet. Man kann die versteckten Dateien entweder über das Terminal oder über ein Dashboard-Widget anzeigen lassen.

Folgenden Eintrag bitte in die .htaccess-Datei im Hauptverzeichnis der WordPress-Installation kopieren. Der Eintrag sollte oberhalb von #Begin WordPress stehen. Die Datei lässt sich mit einem Texteditor wie Notepad oder TextEdit öffnen und bearbeiten.

Das Hauptverzeichnis einer WordPress-Installation
hauptverzeichnis

Ein Klick auf die Grafik öffnet das Gist bei GitHub
htaccess

Fazit

Diese drei kleinen Schritte haben WordPress wesentlich sicherer gemacht. Ein Angriff über die xmlrpc.php ist nun unmöglich, auch Anfragen an die Datei werden nicht mehr beantwortet, was zudem der Performance zuträglich ist. Allerdings sollte klar sein, dass WordPress nun keine Pingbacks mehr empfängt und sich natürlich auch nicht mehr mit Apps jeglicher Art verwalten, beziehungsweise füllen lässt. Doch das dürfte nur ein kleiner Wermutstropfen sein, der den erheblichen Sicherheitsgewinn nicht schmälert.

Quelle: WordPress: Angriffe auf die XMLRPC-Schnittstelle (xmlrpc.php) unterbinden

(dpe)

Dr. Web Redaktion

Dr. Web Redaktion

An einem „Dr. Web Redaktion“ Artikel arbeiten i.d.R. mehrere Autoren, unter anderem Michael Dobler, und Markus Seyfferth.

Werde ein Sponsor. Kontaktiere uns →

Kostenloses SEO-Tool

Agenturpartner

Logo von der Warscher Digitalagentur aus Zürich, Horgen und Basel.

Warscher – Digital Experts

Horgen

Dunkel Design | Webdesign Grafikdesign Logodesign

Köln

Logo der Frankfurter Webdesign Agentur Nextblick.

NEXTBLICK Internetagentur Frankfurt

Frankfurt am Main

Klickbeben Webdesign Agentur Innsbruck Logo.

Webagentur klickbeben

Innsbruck

Sparkman webdesign Frankfurt.

Webdesign Frankfurt | Sparkm4n

Dillenburg

Alle Agenturpartner

Lust auf mehr?

Symbolbild in einem Laptop eingebettet. Zu sehen ist ein Mitarbeiter einer Digitalagentur.
Digitalisierung

Die passende Digitalagentur finden: Das solltest Du beachten

Wir unterstützen Dich bei der Auswahl der passenden Digitalagentur, mit Agenturempfehlungen und wichtigen Hintergrundinformationen in unserer FAQ.

→
SEO Agentur

SEO Agentur

Hier finden Sie eine geeignete SEO Agentur. Sie möchten eine bessere Sichtbarkeit Ihrer Website in Google & Co., mehr Traffic, höhere Conversions, mehr Umsatz? Eine professionelle SEO Agentur unterstützt Sie maßgeblich bei der Erreichung dieser wichtigen Ziele.

→
Mitarbeiter einer WordPress-Agentur mit einer Tasse Kaffee im Vordergrund.
WordPress

WordPress — eine gute Wahl für Ihre Unternehmenswebsite?

Hier finden Sie ein ausführliches FAQ zu WordPress als Entscheidungshilfe und eine Auswahl von professionellen WordPress Agenturen.

→

12 Antworten zu „WordPress-Sicherheit: Die XML-RPC-Schnittstelle abschalten“
— was ist Deine Meinung?

  1. Antje sagt:
    4. April 2018 um 14:15 Uhr

    Hallo,

    ich bin bekennender Fan und dr.web und die e-books haben mir schon viele graue Haare erspart.
    Aber hier noch ein paar Fragen:
    Besteht das Problem mit der sml-rpc-Schnittstelle etwa immer noch??

    Und müssen zwingend alle drei Schritte durchgeführt werden oder ist Teil 3 via .htaccess ggf. ausreichend?
    Teil 1 + 2 _ einfügen von Code in die functions.php des Themes – bedeutet dies, immer wenn ich das Theme wechsele muss ich ans einfügen des Codes denken?

    Viele Grüße
    Antje

    Antworten
    1. Antje sagt:
      4. April 2018 um 14:16 Uhr

      natürlich xml-rpc …

      Antworten
  2. SecUpOwn sagt:
    4. März 2016 um 16:16 Uhr

    1 Beispiel:
    Die Pingback-API ermöglicht eine Art »Vernetzung« zwischen den Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programmen verwalten zu können.

    Sogar inklusive der Hochkommatas – das nenn ich Copy&Paste. ^^

    Antworten
    1. Andreas Hecht sagt:
      4. März 2016 um 20:48 Uhr

      Moin,

      ja, da ist mir wohl ein Satz durchgerutscht. Soll so nicht sein, kann aber mal passieren. Trotz des Checks mit Copyscape. Das tut der Qualität des Artikels jedoch keinen Abbruch, denn alle anderen Sätze stammen eindeutig von mir. Sorry, doch wer viel arbeitet, macht auch mal Fehler. Auch Du machst Fehler in deinem Job. So ist das nun mal. Und nur neue und noch niemals irgendwo publizierte Artikel über WordPress zu schreiben ist ein Ding der Unmöglichkeit. Und nun entspann Dich doch einfach mal.

      Antworten
  3. SecUpOwn sagt:
    1. März 2016 um 15:09 Uhr

    Lustig, wenn sogar ganze Sätze von anderen Blogs kopiert werden. Der „original“ Beitrag ist jedenfalls hier zu finden: https://www.kuketz-blog.de/wordpress-angriffe-auf-die-xmlrpc-schnittstelle-xmlrpc-php-unterbinden/

    😉

    Antworten
    1. Dieter Petereit sagt:
      1. März 2016 um 22:04 Uhr

      Dann wäre ich an Belegen interessiert. Wir verwenden Copyscape und konnten keinerlei Kopiererei feststellen. Das Thema haben wir natürlich nicht erfunden. Das waren die Jungs von Automattic 😉

      Antworten
      1. SecUpOwn sagt:
        4. März 2016 um 16:17 Uhr

        Beispiel kommt:
        Die Pingback-API ermöglicht eine Art »Vernetzung« zwischen den Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programmen verwalten zu können.

        Sogar inklusive der Hochkommatas – das nenn ich Copy&Paste. ^^

  4. Stefan sagt:
    12. Februar 2016 um 10:43 Uhr

    Danke für die Anleitung.
    Ich hab jetzt noch eine andere Frage. Kann es sein das Plugins wie Limit Login Attempts das schon verhindern oder Caching Tools wie W3 Total Cache? Weil wenn ich Seiten von mir überprüfe bekomme ich keinen X-Pingback angezeigt im Header Http.

    Kann ich es irgendwie testen ob es geklappt hat? Außer mit Chrome auslesen?

    Schöne Grüße
    Stefan

    Antworten
    1. Stefan sagt:
      18. Februar 2016 um 11:32 Uhr

      Ist meine Frage so lächerlich, dass man nicht mal eine kurze Antwort bekommt?

      Antworten
      1. Andreas Hecht sagt:
        18. Februar 2016 um 12:23 Uhr

        Sorry für die späte Antwort, Stefan.

        Nein, Plugins wie Limit Login Attempts oder W3 Total Cacher verhindern das nicht. Dann wird halt der Header nicht angezeigt, weil das vielleicht auf Deinem Server so geregelt ist. Das heißt jedoch nicht, dass die Schnittstelle bereits abgeschaltet ist. Noch ein Wort zu Limit Login Attempts und ähnlichen Kram: Plugins dieser Art schaffen keinerlei Sicherheit, weil sie nur eine IP blocken können. Ein richtiger Angriff findet mit hunderten IPs statt.

      2. Stefan sagt:
        26. Februar 2016 um 12:14 Uhr

        Danke für die Antwort, dann muss ich da noch mal meine andere Seiten überprüfen die auf anderen Servern liegen.

        Zu dem PlugIn Limit Login Attempts bin ich ein bisschen verwirrt, ich hab mir das eigentlich nur installiert weil es hier empfohlen wurde, sogar von ihnen.
        Ebenso versteh ich nicht was sie meinen mit, es wird nur eine IP geblockt?
        Wenn ich in das Plugin schaue sehe ich dort jede IP Adresse die gesperrt wurde.

        Bedeutet das, dass diese nur da stehen und nicht mehr geblockt werden oder wie muss ich das verstehen?

        Schöne Grüße
        Stefan

      3. Stefan sagt:
        26. Februar 2016 um 12:15 Uhr

        Der Link noch http://www.drweb.de/magazin/eine-wordpress-installation-korrekt-absichern/

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Dr. Web Logo weiss.

Pionier für Digitale Transformation. Seit 1997. ✅  Wissen, Tipps, Ratgeber, Dienstleister: Wir bringen wir die digitale Transformation von Unternehmen praxisnah voran.

Agentur nach Schwerpunkt finden

  • Als Agentur eintragen
  • Beste Agenturen finden
  • Die besten Digitalagenturen
  • Die besten SEO Agenturen
  • Die besten Webdesign Agenturen
  • Die besten Werbeagenturen
  • Die besten WordPress Agenturen
  • So finden Sie die richtige SEO-Agentur
  • Ist WordPress eine gute Wahl für Ihre Website?
  • Als Agentur eintragen
  • Beste Agenturen finden
  • Die besten Digitalagenturen
  • Die besten SEO Agenturen
  • Die besten Webdesign Agenturen
  • Die besten Werbeagenturen
  • Die besten WordPress Agenturen
  • So finden Sie die richtige SEO-Agentur
  • Ist WordPress eine gute Wahl für Ihre Website?

Für Unternehmer: Finden Sie Ihre Agentur in…

  • Aachen
  • Augsburg
  • Basel
  • Bamberg
  • Bayreuth
  • Bergisch-Gladbach
  • Berlin
  • Bern
  • Bielefeld
  • Bochum
  • Bonn
  • Bremen
  • Chemnitz
  • Darmstadt
  • Dortmund
  • Dresden
  • Duisburg
  • Düsseldorf
  • Essen
  • Esslingen
  • Flensburg
  • Frankfurt
  • Freiburg
  • Gelsenkirchen
  • Gießen
  • Goslar
  • Hamburg
  • Hamm
  • Hannover
  • Heidelberg
  • Ingolstadt
  • Innsbruck
  • Karlsruhe
  • Kassel
  • Köln
  • Leipzig
  • Leverkusen
  • Ludwigsburg
  • Mainz
  • Mannheim
  • München
  • Münster
  • Nürnberg
  • Offenburg
  • Oldenburg
  • Osnabrück
  • Passau
  • Pforzheim
  • Potsdam
  • Regensburg
  • Reutlingen
  • Rosenheim
  • Rostock
  • Salzburg
  • Starnberg
  • Stuttgart
  • Tübingen
  • Wien
  • Wiesbaden
  • Wuppertal
  • Würzburg
  • Zürich
  • Aachen
  • Augsburg
  • Basel
  • Bamberg
  • Bayreuth
  • Bergisch-Gladbach
  • Berlin
  • Bern
  • Bielefeld
  • Bochum
  • Bonn
  • Bremen
  • Chemnitz
  • Darmstadt
  • Dortmund
  • Dresden
  • Duisburg
  • Düsseldorf
  • Essen
  • Esslingen
  • Flensburg
  • Frankfurt
  • Freiburg
  • Gelsenkirchen
  • Gießen
  • Goslar
  • Hamburg
  • Hamm
  • Hannover
  • Heidelberg
  • Ingolstadt
  • Innsbruck
  • Karlsruhe
  • Kassel
  • Köln
  • Leipzig
  • Leverkusen
  • Ludwigsburg
  • Mainz
  • Mannheim
  • München
  • Münster
  • Nürnberg
  • Offenburg
  • Oldenburg
  • Osnabrück
  • Passau
  • Pforzheim
  • Potsdam
  • Regensburg
  • Reutlingen
  • Rosenheim
  • Rostock
  • Salzburg
  • Starnberg
  • Stuttgart
  • Tübingen
  • Wien
  • Wiesbaden
  • Wuppertal
  • Würzburg
  • Zürich

Aus unserem Magazin

  • Dr. Web Autoren
  • Amazon SEO
  • Content Marketing
  • CMS
  • CSS
  • Digitalisierung
  • E-Commerce
  • Freelancer
  • Jobs
  • Online-Marketing
  • SEO
  • UX Design
  • Webdesign
  • Website erstellen
  • WordPress
  • WooCommerce
  • Dr. Web Autoren
  • Amazon SEO
  • Content Marketing
  • CMS
  • CSS
  • Digitalisierung
  • E-Commerce
  • Freelancer
  • Jobs
  • Online-Marketing
  • SEO
  • UX Design
  • Webdesign
  • Website erstellen
  • WordPress
  • WooCommerce

Rechtliches

  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Privatsphäre-Einstellungen ändern
  • Historie der Privatsphäre-Einstellungen
  • Einwilligungen widerrufen
  • Nach oben ↑
  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Privatsphäre-Einstellungen ändern
  • Historie der Privatsphäre-Einstellungen
  • Einwilligungen widerrufen
  • Nach oben ↑