Wenn es um die Sicherheit geht, lese ich immer wieder den Ratschlag, man solle bei seinen WordPress-Installationen die XML-RPC-Schnittstelle deaktivieren. Doch ist das sinnvoll?
Viele Brute-Force-Angriffe auf WordPress-Webseiten geschehen über die XML-RPC-Schnitstelle. Diese stellt wichtige Möglichkeiten zur Kommunikation innerhalb von WordPress bereit. Wenn man keine dieser Funktionen benötigt, kann man die Schnittstelle deaktivieren und macht so zusätzlich noch ein Loch zu, um es mal so zu sagen.
Allerdings lohnt das kaum. Weshalb das so ist, erkläre ich Dir in diesem Beitrag:
XML-RPC auf WordPress ist eigentlich eine API oder „Anwendungsprogrammschnittstelle“. XML-RPC gibt Entwicklern von mobilen Apps, Desktop-Apps und anderen Diensten, die Möglichkeit, mit der WordPress-Seite zu kommunizieren.
Die XML-RPC-API, die WordPress bereitstellt, gibt Entwicklern die Möglichkeit, Anwendungen zu schreiben, die viele der Dinge tun können, die >DU auch als Admin der Webseite machen kannst.
Das beinhaltet:
Veröffentlichen von Beiträgen
Bearbeiten von Beiträgen
Einen Beitrag löschen
Neue Dateien hochladen (z. B. ein Bild für einen Beitrag)
Kommentare auflisten
Kommentare bearbeiten
Wenn Du den XML-RPC-Dienst in WordPress deaktivierst, können Anwendungen diese API nicht mehr verwenden, um mit WordPress zu kommunizieren.
Ein Beispiel zur Veranschaulichung: Du hast eine App auf Deinem iPhone, mit der Du WordPress-Kommentare moderieren kannst. Jemand rät Dir, XML-RPC zu deaktivieren. Dann wird Deine iPhone-App plötzlich nicht mehr funktionieren, da sie über die gerade deaktivierte API nicht mehr mit Deiner Webseite kommunizieren kann.
Früher war es sinnvoller, XML-RPC zu deaktivieren. Inzwischen wurde aber die WordPress-eigene API-Missbrauchsprävention verbessert.
Jetpack ist eines der beliebtesten Plugins für WordPress und verlässt sich bei der Bereitstellung seiner Funktionen stark auf XML-RPC. Es wurde von Automattic, dem Hersteller von WordPress, entwickelt. Wenn Du die Seite „Bekannte Probleme“ für Jetpack besuchst, wirst Du feststellen, dass sehr viele Probleme durch das Deaktivieren von XML-RPC verursacht werden.
Über die folgenden zwei Arten von Angriffen auf XML-RPC wurde in den letzten zwei Jahren in der Presse berichtet:
1. DDoS über XML-RPC-Pingbacks: Dies ist eigentlich keine sehr effektive Form von DDoS-Angriffen und Anti-Spam-Plugins wie Akismet sind gut darin, diese Art von Missbrauch zu erkennen.
2. Brute-Force-Angriffe über XML-RPC: Diese sind völlig wirkungslos, wenn Du beispielsweise Wordfence oder ein anderes gutes Sicherheitsplugin verwendest.
Du solltest Dir gut überlegen, ob Du für irgendeine Funktion oder ein Plugin die XML-RPC-Schnittstelle benötigst. Wenn das garantiert nicht der Fall ist, kannst Du sie abschalten. Ansonsten lass sie lieber eingeschaltet.
Ich habe noch einmal die wichtigsten Schlagwörter (Hashtags) dieses Artikels für Sie zusammengestellt, damit Sie sich besser orientieren können:
Schlagwörter: Beitrag, Dir, Du, M, Wenn, wordpress