So deaktivieren Sie XML-RPC in WordPress

Cum se dezactivează XML-RPC în WordPress
⏱️ 5 min read

WordPress XML-RPC ist eine ziemlich veraltete Funktionalität, die in das WordPress CMS integriert ist. Es ist ein Mittel zur Standardisierung der Kommunikation zwischen einer WordPress-Site und anderen Web- oder Mobiltechnologien. Wenn Sie ein WordPress-Benutzer sind, erfahren Sie in diesem Tutorial, was XML-RPC ist und warum es eine gute Idee ist, es zu deaktivieren, um sich selbst zu schützen.

So funktioniert XML-RPC

Ihre WordPress-Website ist so konzipiert, dass sie im Web funktioniert. Es verwendet zentrale Webtechnologien wie HTML, CSS und PHP. Alle diese Dateien befinden sich in Ordnern auf Ihrem Hosting-Server.

Wenn ein Besucher auf Ihren Domain-Namen oder eines seiner Derivate klickt, landet er auf Ihrer Webseite. Der spezifische Ordner mit den Informationen, die in den Browser heruntergeladen werden sollen. Jetzt interpretiert der Browser diese Informationen und zeigt sie ihnen an.

Was aber, wenn Sie nicht über einen Browser auf Ihre Website zugreifen möchten? Was ist, wenn Sie über eine benutzerdefinierte Verwaltungssoftware oder sogar eine mobile Anwendung darauf zugreifen möchten?

Der WordPress XML-RPC behandelt dieses Problem.

XML-RPC ist eine API, die die wesentlichen Informationen in eine einfache XML-Datei packt und an die mobile App oder Remote-Software sendet. Die mobile Anwendung bläst diese Informationen dann mit ihrem eigenen vorkonfigurierten Design auf. In diesem Fall muss die mobile App keine wesentlichen Webseitendateien mehr herunterladen, und Sie können weiterhin in einer raffinierten App auf Ihre Daten zugreifen.

So gut es scheint, das einzige Problem ist, dass Sie Ihren Benutzernamen und Ihr Passwort jedes Mal senden müssen, wenn Sie sich über XML-RPC authentifizieren möchten. Dies macht es sehr anfällig für den Angriff eines Hackers.

Wie XML-RPC Sie verwundbar macht

XML-RPC macht Ihre Site auf mindestens zwei Arten anfällig für Angriffe: Brute-Force-Angriffe und Diebstahl von Anmeldeinformationen.

1. Brute-Force-Angriffe

Angreifer versuchen, Ihre Website mit einem Brute-Force-Angriff zu infizieren.

Was-ist-xmlrpc-Brute-Force-Angriff

Ein Brute-Force-Angriff ist nur ein Ratespiel. Der Angreifer versucht immer wieder, Ihr Passwort zu erraten, bis es erfolgreich ist.

Es passiert mehrere tausend Mal pro Sekunde, so dass sie in kurzer Zeit Millionen von Kombinationen ausprobieren können.

Auf einer WordPress-Site können Sie Brute-Force-Angriffe einfach begrenzen, indem Sie die Anmeldeversuche für Ihre Website begrenzen. Das Problem mit XML-RPC ist jedoch, dass Anmeldeversuche auf Ihrer Site nicht begrenzt werden.

Ein Angreifer kann weiter raten, indem er Ihren Server täuscht, dass er ein Administrator ist, der versucht, einige Informationen abzurufen. Und weil sie nicht über die richtigen Anmeldeinformationen verfügen, können sie noch nicht auf Ihre Website zugreifen. Daher versuchen sie es mehrmals ohne Ende.

Da die Anzahl der Versuche unbegrenzt ist, ist es nur eine Frage der Zeit, bis sie Zugriff erhalten. Auf diese Weise kann ein Hacker eine Site auch leicht durch einen XML-RPC-DDOS-Angriff zum Absturz bringen (indem er Wellen von Pingback-Anforderungen an XML-RPC sendet, um den Server zu überlasten und zum Absturz zu bringen).

2. Abfangen / Stehlen von Anmeldeinformationen

Was-ist-xmlrpc-Login-Interception

Eine weitere Schwäche des XML-RPC ist das ineffiziente Authentifizierungssystem. Jedes Mal, wenn Sie eine Anfrage zum Zugriff auf Ihre Website senden, müssen Sie auch Ihre Anmeldeinformationen einreichen. Dies bedeutet, dass Ihr Benutzername und Ihr Passwort offengelegt werden.

Hacker lauern möglicherweise um die Ecke, um dieses Informationspaket abzufangen. Sobald sie erfolgreich sind, müssen sie die Strapazen der Brute-Force-Angriffe nicht mehr durchstehen. Sie walzen einfach mit Ihren gültigen Anmeldeinformationen auf Ihre Website.

Sollte ich XML-RPC in WordPress deaktivieren?

Seit WordPress Version 3.5 wurde der XML-RPC-Code so stark verbessert, dass das WordPress-Team ihn für sicher genug hielt, um standardmäßig aktiviert zu werden. Wenn Sie sich bei der Verwaltung Ihrer WordPress-Site auf mobile Apps oder Remote-Software verlassen, sollten Sie XML-RPC wahrscheinlich nicht deaktivieren.

Wenn Sie sich der Sicherheit Ihres Servers sehr bewusst sind, ist es möglicherweise besser, ihn zu deaktivieren, da er eine Möglichkeit verdeckt, mit der Hacker Ihre Website angreifen können.

So deaktivieren Sie XML-RPC in WordPress

XML-RPC ist in WordPress standardmäßig aktiviert, es gibt jedoch verschiedene Möglichkeiten, es zu deaktivieren.

Hinweis: Wenn Sie das beliebte JetPack-Plugin verwenden, können Sie XML-RPC nicht deaktivieren, da Jetpack für die Kommunikation mit dem Server erforderlich ist. Stellen Sie außerdem vor dem Deaktivieren von XML-RPC sicher, dass keines Ihrer Plugins oder Themes es verwendet.

XML-RPC deaktivieren

1. Suchen Sie Ihren Themenordner (normalerweise in „wp-content / theme /“) und öffnen Sie die Datei „functions.php“.

2. Fügen Sie die folgenden Befehle am Ende der Datei ein:

Speichern Sie die Datei “functions.php”. Dadurch wird die XML-RPC-Funktionalität in WordPress deaktiviert. Beachten Sie, dass diese Methode nur XML-RPC deaktiviert, Hacker jedoch nicht davon abhält, Ihre Site anzugreifen, da die Datei xml-rpc.php vorhanden ist.

Blockieren des Zugriffs auf XML-RPC-Dateien

Der beste Weg, um zu verhindern, dass Hacker angreifen, besteht darin, den Zugriff auf die xml-rpc-Datei zu blockieren.

Apache-Server

Wenn Ihre WordPress-Site auf einem Apache-Server ausgeführt wird (wenn in Ihrem WordPress-Installationsordner eine “.htaccess” -Datei angezeigt wird, können Sie ziemlich sicher sein, dass Ihre Site auf einem Apache-Server gehostet wird), führen Sie die folgenden Schritte aus.

1. Melden Sie sich bei Ihrem CPanel an. Suchen Sie nach File Manager.

Was-ist-xmlrpc-cpanel-Login

2. Öffnen Sie den Dateimanager. Navigieren Sie zum Ordner “public_html” und dann zum Dokument “.htaccess”.

Was-ist-xmlrpc-htaccess

3. Klicken Sie mit der rechten Maustaste, um die Datei zu bearbeiten.

Was-ist-xmlrpc-htaccess-bearbeiten

4. Fügen Sie am Ende der Datei den folgenden Code ein:

Was-ist-xmlrpc-htaccess-edit-save-Änderungen

5. Speichern und beenden.

Nginx-Server

Fügen Sie für den Nginx-Server den folgenden Code in Ihre Serverkonfigurationsdatei ein:

Jetzt ist Ihre Site vor Angriffen geschützt.

Abschließend

Brute-Force-Angriffe und Datendiebstahl werden den Website-Eigentümern weiterhin Probleme bereiten. Es ist Ihre Pflicht, sicherzustellen, dass Ihre Website sicher ist. Das Deaktivieren von XML-RPC ist eine effektive Möglichkeit, dies zu tun. Befolgen Sie die obigen Anweisungen und schützen Sie Ihre Website und Besucher jetzt vor Hackern.

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Benutzerbild von Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Das könnte dich auch interessieren …

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x