XML-RPC ist eine Kern-API von WordPress, die es Benutzern ermöglicht, sich mit ihrer WordPress-Website über Drittanbieter-Apps, Tools und Dienste zu verbinden. Leider haben Hacker in der Vergangenheit Wege gefunden, XML-RPC auszunutzen, um Zugriff auf WordPress-Websites zu erhalten.
Bei WPBeginner haben wir Tausenden von Nutzern geholfen, ihre WordPress-Website zu sichern und XML-RPC zu deaktivieren. Wir haben festgestellt, dass es je nach technischem Wissen unterschiedliche Wege gibt, dies zu tun.
Sie können beispielsweise XML-RPC deaktivieren, indem Sie auf die .htaccess-Datei zugreifen oder einen Code-Snippet hinzufügen. Wenn Sie Anfänger sind, gibt es inzwischen ein Plugin, das die Kerndatei deaktiviert, ohne dass Code bearbeitet werden muss.
In diesem Artikel zeigen wir Ihnen, wie Sie XML-RPC in WordPress mit verschiedenen Methoden einfach deaktivieren können.
Was ist XML-RPC in WordPress?
XML-RPC ist eine Kern-WordPress-API, die seit der Veröffentlichung von WordPress 3.5 im Jahr 2012 standardmäßig aktiviert ist. Sie ermöglicht es Entwicklern, XML- und HTTPS-Protokolle zu verwenden, um sich mit Ihrer WordPress-Website zu verbinden und mit ihr zu interagieren.
Kurz gesagt, Sie benötigen XML-RPC, um aus der Ferne auf Ihren Blog zuzugreifen und ihn zu veröffentlichen, z. B. wenn Sie eine mobile App zur Verwaltung Ihrer Website verwenden oder Verbindungen zu Automatisierungsdiensten wie Uncanny Automator oder Zapier herstellen möchten.
Wenn Sie jedoch keine mobilen Apps mit Ihrer Website verwenden, dann einige WordPress-Sicherheitsexperten möglicherweise raten, XML-RPC zu deaktivieren. Dies schließt eine Tür, die potenziell ausgenutzt werden könnte, um Ihre Website zu hacken.
Das gesagt, schauen wir uns an, wie man die XML-RPC-API in WordPress einfach deaktiviert. Die .htaccess-Methode ist am besten, da sie am wenigsten ressourcenintensiv ist, und die anderen Methoden sind für Anfänger einfacher.
- Methode 1: WordPress XML-RPC mit .htaccess deaktivieren (Fortgeschritten)
- Methode 2: WordPress XML-RPC mit einem Code-Snippet deaktivieren (empfohlen)
- Methode 3: WordPress XML-RPC mit einem Plugin deaktivieren
- Testen, ob WordPress XML-RPC deaktiviert ist
Methode 1: WordPress XML-RPC mit .htaccess deaktivieren (Fortgeschritten)
Diese Methode ist für fortgeschrittene Benutzer, da sie erfordert, dass Sie die .htaccess-Datei Ihrer Website bearbeiten. Wir empfehlen Anfängern, Methode 2 oder 3 zu verwenden.
Diese Methode hat mehrere Vorteile, wie z. B. die Möglichkeit, sich selbst und Ihrem Team Fernzugriff zu gewähren und gleichzeitig alle anderen einzuschränken. Sie beeinträchtigt auch nicht Ihre WordPress-Leistung, da sie XML-RPC-Anfragen deaktiviert, bevor sie an WordPress weitergeleitet werden.
Sie müssen den folgenden Code zu Ihrer .htaccess-Datei hinzufügen. Sie können dies tun, indem Sie sich mit einem FTP-Client oder Dateimanager mit Ihrer Website verbinden. Außerdem können All in One SEO-Benutzer das integrierte Editor-Tool des Plugins verwenden, um den Code-Snippet hinzuzufügen, wie Sie im Screenshot unten sehen können.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
Wenn Sie einem bestimmten Benutzer Fernzugriff auf Ihre Website gewähren möchten, ersetzen Sie einfach '123.123.123.123' in Zeile 5 durch seine IP-Adresse. Sie können mehrere IP-Adressen hinzufügen, indem Sie sie durch Leerzeichen trennen.
Oder, wenn Sie XML-RPC vollständig deaktivieren möchten, löschen Sie Zeile 5 ganz.
Hinweis: Wenn Sie die Datei .htaccess nicht finden können, lesen Sie unsere Anleitung warum Sie die .htaccess-Datei auf Ihrer WordPress-Site nicht finden können.
Methode 2: WordPress XML-RPC mit einem Code-Snippet deaktivieren (empfohlen)
Diese Methode erfordert, dass Sie Code zu Ihrer WordPress-Website hinzufügen. Wenn Sie dies noch nie zuvor getan haben, lesen Sie unseren Leitfaden, wie Sie benutzerdefinierte Code-Snippets in WordPress kopieren und einfügen.
WPCode ist der einfachste und sicherste Weg, Code zu Ihrer WordPress-Website hinzuzufügen. Es hilft Ihnen, Ihre Code-Snippets zu verwalten und verhindert, dass Fehler Ihre Website beschädigen.
In dieser Methode verwenden wir einen der integrierten Code-Snippets von WPCode, um XML-RPC zu deaktivieren.
Zuerst müssen Sie das kostenlose WPCode-Plugin installieren. Schritt-für-Schritt-Anleitungen finden Sie in unserem Leitfaden zur Installation eines WordPress-Plugins für Anfänger.
Nach der Aktivierung gehen Sie zu Code-Snippets » Snippet hinzufügen. Die WPCode-Bibliothek enthält bereits ein Snippet, das XML-RPC deaktiviert. Sie finden es, indem Sie nach „xml“ suchen.
Sobald Sie sie gefunden haben, müssen Sie auf die Schaltfläche „Snippet verwenden“ klicken.
Als Nächstes müssen Sie den Schalter „Aktiv“ auf die Position „Ein“ stellen.
Stellen Sie abschließend sicher, dass Sie auf die Schaltfläche 'Aktualisieren' klicken, um den Snippet auf Ihrer Website zu aktivieren und die XML-RPC-API zu deaktivieren.
Methode 3: WordPress XML-RPC mit einem Plugin deaktivieren
Dies ist eine einfache Methode, die verwendet werden kann, wenn Sie keine weiteren Anpassungen an Ihrer Website mit einem Code-Snippet-Plugin vornehmen möchten.
Installieren und aktivieren Sie einfach das Disable XML-RPC-API Plugin. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zur Installation eines WordPress-Plugins.
Das Plugin funktioniert sofort und deaktiviert XML-RPC umgehend.
Sie können zu XML-RPC Security » XML-RPC Settings navigieren, um das Plugin zu konfigurieren. Sie können beispielsweise bestimmten Benutzern den Zugriff auf XML-RPC erlauben, indem Sie ihre IP-Adressen auf die Whitelist setzen.
Testen, ob WordPress XML-RPC deaktiviert ist
Nun sollten Sie überprüfen, ob Sie die XML-RPC-API auf Ihrer WordPress-Website erfolgreich deaktiviert haben.
Sie können auch überprüfen, ob XML-RPC deaktiviert ist, indem Sie einfach die URL http://example.com/xmlrpc.php in Ihrem Browser aufrufen. Stellen Sie sicher, dass Sie „example.com“ durch den Domainnamen Ihrer eigenen Website ersetzen.
Wenn XML-RPC deaktiviert ist, sollten Sie die Fehlermeldung sehen: „Verboten: Sie haben keine Berechtigung für den Zugriff auf diese Ressource.“
Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie XML-RPC in WordPress einfach deaktivieren können. Möglicherweise möchten Sie auch unseren Leitfaden zum Einfügen von JavaScript in WordPress-Seiten oder -Beiträgen und die besten WordPress-Entwicklungstools ansehen.
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Jiří Vaněk
Vielen Dank für den Snippet. Am Ende habe ich XML-RPC mit WPCode deaktiviert, da dies der einfachste Weg zu sein schien und ich XML-RPC auch leicht wieder aktivieren kann. Großartig!
Pete Mason
in htaccess, die Zeile:
allow from 123.123.123.123
Sieht so aus, als ob sie mit meiner IP-Adresse bearbeitet werden soll. Aber das steht nirgends –?
Christine
Gibt es einen Unterschied zwischen Deaktivieren und Blockieren?
WPBeginner Support
Blockieren würde versuchen, den Zugriff auf die Funktion einzuschränken, während Deaktivieren sie vollständig ausschalten würde. Wenn Sie sie deaktivieren, müssen Sie sich keine Sorgen machen, dass jemand über eine andere Methode darauf zugreift.
Admin
Rashmi K
Das empfohlene Plugin Disable XML-RPC wurde seit 2 Jahren nicht mehr aktualisiert. Es besagt, dass das Plugin nicht mit den letzten 3 Versionen von WordPress getestet wurde.
WPBeginner Support
Zu unserer Haltung bezüglich der Warnung „Nicht getestet“ sollten Sie sich unseren Artikel unten ansehen:
https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Nikhil
Hallo,
Deaktiviert die Deaktivierung des xmlrpc.php-Zugriffs auch den Zugriff auf WordPress-APIs, die für die Android-/iOS-App-Entwicklung verwendet werden?
WPBeginner Support
Das hängt von der API ab, die von den Apps selbst verwendet wird.
Admin
Vyom
Lösung gefunden: Fügen Sie folgende Informationen in die Nginx-Konfiguration ein: # Nginx-Block für xmlrpc.php-Anfragen location /xmlrpc.php { deny all; }
Vyom
Ich verwende Nginx anstelle von Apache. Kann ich .htaccess auf meiner Website noch verwenden?
Und muss ich diese Datei im Verzeichnis public_html oder eine Ebene darüber speichern?
WPBeginner Support
Wenn Sie Nginx verwenden, können Sie .htaccess nicht verwenden
Admin
Vyom
Danke für die Antwort. Gibt es also eine Alternative für nginx?
WPBeginner Support
Sie würden das websitespezifische Plugin oder das Plugin aus dem früheren Teil des Artikels hinzufügen.
Chinecherem Somto
Hallo, füge ich den Code in die .htaccess-Datei im Stammverzeichnis der Website ein?
WPBeginner Support
Yes, the .htaccess in your site’s root folder is where you would add the .htaccess code
Admin
Mojtaba Rezaeian
Danke, Autor.
WPBeginner Support
You are welcome Mojtaba
Admin
Bapi
Wie verwende ich mehrere IP-Adressen oder einen IP-Bereich wie 123.123.123.1, 2, 3, …… 100,101
malcolm
warum würden wir 123.123.123.123 zulassen?
Wenn wir den Dienst überhaupt nicht nutzen, warum sollte „deny all“ nicht absolut sein?
Edward
Wenn ich den Code richtig lese;
order deny,allow – setzt deny vor allow, da deny ‘all’ ist und allow dann nicht verarbeitet wird
deny from all – tut, was es sagt
allow from 123.123.123.123 – ist ein Platzhalter
Ich nehme an, wenn Sie eine feste IP-Adresse haben, könnten Sie die Reihenfolge in „allow,deny“ ändern und 123.123.123.123 durch Ihre IP-Adresse ersetzen. Das würde Ihre IP zulassen und dann alle anderen verweigern.
David Hoy
Thanks WP-Beginner, I’m trying to be baddest WP boy in my neighbourhood and this is exactly why I keep coming back to you guys, each question I have you say; here is the easy way, and here is the RIGHT way
Ich und meine .htaccess werden ein kleines Gespräch über htpasswrd und dieses XMLRPC-Ding führen, das meine Kunden nie brauchen werden.
Ihr habt alle meine Ecke des Netzes ein bisschen sicherer gemacht, wie MailChimp sagen würde: High Fives!
WPBeginner Support
Hallo David,
Thanks for the kind words. We are glad you find WPBeginner helpful
Admin
Cezar
Ok, ich werde diesen Code verwenden, aber ich möchte, dass IFTTT auf meiner Website funktioniert. Was muss ich hinzufügen?
# Blockiere WordPress xmlrpc.php-Anfragen
order deny,allow
deny from all
allow from 123.123.123.123
PhilB
Hallo,
Ich habe die Anweisungen befolgt, um die Datei xmlrpc.php mit .htaccess zu blockieren, bin mir aber nicht sicher, ob es funktioniert.
Ich benutze Wordfence Security und in der Live-Traffic-Ansicht sehe ich, dass die Anfragen für die Datei xmlrpc.php gestoppt wurden, aber wenn ich meine Zugriffsprotokolle überprüfe
tail -f /apache2/logs/access_log
Ich kann immer noch sehen, dass die Anfragen eingehen, aber der Code am Ende hat sich von 500 auf 403 geändert. Ich mache mir Sorgen, dass ich einen falschen Bericht von meinem WordFence-Plugin erhalte und dass ich immer noch mit Spam überflutet werde. Kann mir jemand Rat geben?
Danke,
PhilB
David Hoy
Oh ja! Das funktioniert perfekt, Ihr XMLRPC ist VERBOTEN!
HTTP-Statuscode 403: Der Server hat die Anfrage verstanden, weigert sich jedoch, sie zu autorisieren.
Raymundo
Ich habe ein seltsames Problem...
Ich benutze meine WordPress-Blogs mit IFTTT und alles funktionierte gut, bis ich es mit MaxCDN integriert habe; IFTTT hörte sofort auf zu funktionieren. Ich habe recherchiert und das Problem könnte mit XML-RPC zusammenhängen, das deaktiviert wurde.
Wenn ich mein Dashboard unter „Einstellungen“ > „Schreiben“ überprüfe, sehe ich nichts wie XML-RPC, Remote Publishing usw. Ich habe die Datenbank in den Optionen überprüft, auch xml-rpc ist nicht verfügbar / fehlt.
Ich muss XML-RPC aktivieren, damit mein IFTTT funktioniert.
Wie reaktiviere ich XML-RPC? Alles, was ich brauche, ist ein Skript, das ich in .htaccess oder functions.php einfügen kann, um XML-RPC zu aktivieren.
Und warum fehlt mir die XML-RPC-Funktionalität in meinem Dashboard.
Danke!
Muhammad Ammar Ashfaq
Ich habe gesucht, wie ich diese Datei xmlprc.php zu meinem WordPress hinzufüge. Ich benutze Version 4.5.3 und bin auf diese Seite gekommen. Ich muss diese PHP-Datei hinzufügen, weil ich beim Aktivieren von Jetpack die Fehlermeldung site_inaccessible erhalte. Bitte sagen Sie mir, wie ich diesen Fehler beheben kann. Meine Website ist
WPBeginner Support
Verbinden Sie sich mit Ihrer WordPress-Website über einen FTP-Client oder den Dateimanager in cPanel. Suchen Sie im Stammverzeichnis Ihrer Website nach der Datei xmlrpc.php. Wenn sie vorhanden ist, versuchen Sie Schritt 2. Wenn nicht, laden Sie eine frische Kopie von WordPress herunter. Entpacken und extrahieren Sie sie und laden Sie die Datei xmlrpc.php zurück in das Stammverzeichnis Ihrer Website.
Schritt 2: Überprüfen Sie die functions.php-Datei Ihres WordPress-Themes auf den Code, der XML-RPC deaktiviert.
Schritt 3: Überprüfen Sie Ihre .htaccess- und wp-config-Dateien.
Admin
omonaija
Bitte, was kann ich tun, um xmlrpc auf meiner Website zu aktivieren? Denn ich kann mich nicht mit der WordPress-Mobil-App auf meinem Smartphone anmelden.
WPBeginner Support
Wenn Sie ein Sicherheits-Plugin auf Ihrer WordPress-Site verwenden, überprüfen Sie dessen Einstellungen.
Admin
Mook
Booyah! Dieser WP-Filter hat den Script-Kiddie-Angriff behoben. Ich habe die Person immer noch gefeuert, aber ich muss die Protokolle nicht wie ein Luchs beobachten, um weitere IPs zur Firewall hinzuzufügen. DANKE.
WPBeginner Support
Deshalb verwenden wir Sucuri.
Admin
Alex
Liegt das daran, dass Sucuri wie das Disable XMLRPC-Plugin funktioniert?
Wenn ja, kann ich mein Disable XMLRPC Plugin entfernen,
Danke
Alex
WPBeginner Support
Sucuri agiert wie eine Firewall zwischen Ihrer Website und den Nutzern. Es blockiert jede verdächtige Aktivität, bevor sie Ihre Website erreichen kann.
Chad
Ich bin absolut dafür, xmlrpc.php serverweit in meiner Datei /etc/httpd/conf/includes/pre_main_global.conf zu deaktivieren. Aber ich habe noch folgende Fragen… gibt es eine Möglichkeit festzustellen, ob ein bestimmtes Plugin xmlrpc.php benötigt, um zu funktionieren? Ich mache mir Sorgen, dass ich den Zugriff darauf blockiere und dann zwei Monate später ein Problem habe und nicht weiß, dass das Problem darin besteht, dass ich xmlrpc.php zuvor blockiert habe.
Gibt es irgendwelche häufigen Anzeichen, auf die man in einer Protokolldatei oder ähnlichem achten sollte, die auf eine xmlrpc.php-Blockierung als Ursache hindeuten würden?
Soumitra
Hallo, ich habe gerade das Plugin deaktiviert XML-RPC installiert
Mal sehen!
Phranq
Hallo, ich benutze die WordPress-App, um mit meinem Android-Smartphone zu posten. Jetzt kann ich mich nicht mehr anmelden und meine Anmeldedaten sind korrekt. Die Antwort, die ich erhielt, war: „Wir können Sie nicht anmelden, da keine Verbindung zur WordPress-Website hergestellt werden konnte“. Können Sie mir helfen, diesen Anmeldefehler der WordPress-App zu beheben?
WPBeginner Support
Wenn Sie XML RPC deaktiviert haben, können Sie sich möglicherweise nicht mit der WordPress-Mobil-App anmelden. Suchen Sie in der functions.php-Datei Ihres Themes nach diesem Code
add_filter('xmlrpc_enabled', '__return_false');1-click Use in WordPress
Wenn es vorhanden ist, müssen Sie es entfernen. Sie können auch versuchen, Plugins zu deaktivieren und sie einzeln zu aktivieren, bis Sie das Plugin gefunden haben, das Sie daran hindert, sich mit der WordPress-Mobil-App anzumelden.
Admin
Josiah
Es ist erwähnenswert, dass „allow from 123.123.123.123“ optional ist und bei Verwendung auf Ihre IP-Adresse oder die IP-Adresse des Geräts aktualisiert werden sollte, das Zugriff auf xmlrpc.php benötigt (es wäre gut, Beispiele in diesem Artikel anzuführen).
Natalie
Ich benutze das GoodbyeCaptcha-Plugin, um XML-RPC auszuschalten, und es funktioniert problemlos, während Jetpack aktiviert ist.
Ich hoffe, das hilft
ATI
Entschuldigung, ich habe diese Methode viele Male ausprobiert. Sie hat bei mir nicht funktioniert – tatsächlich hat sie das Frontend zum Absturz gebracht (Besucher konnten nicht auf die Webseite zugreifen), nachdem diese Codes zur .htaccess-Datei hinzugefügt wurden.
Gretchen Louise
Verhindert das Deaktivieren auf diese Weise dieses Problem? http://theaffluentblogger.com/operating-a-website/wordpress-xmlrpc-php-vulnerability-affects-shared-hosting-sites/ Ich habe eine Freundin, deren Website ständig abstürzt, weil ihre xmlrpc-Datei angegriffen wird.
Redaktion
Ja, es wird den Angriff bis zu einem gewissen Grad verhindern.
Admin
Christopher Ross
Keith, es gibt einen Trend in WordPress, themenbezogene Funktionen aus der functions.php-Datei in ein „standortspezifisches Plugin“ zu verschieben, im Grunde ein Plugin, das Sie nur auf einer einzelnen Website aktivieren und das die themenbezogenen Funktionen für diese Website speichert.
Sie können dasselbe erreichen, indem Sie den Code in Ihre functions.php-Datei einfügen.
Keith Davis
Danke Chris
Es sieht so aus, als hättet ihr das bereits abgedeckt.
https://www.wpbeginner.com/beginners-guide/what-why-and-how-tos-of-creating-a-site-specific-wordpress-plugin/
BTW – was ist mit eurem Kommentarsystem passiert?
War Livefyre damals etwas im Zusammenhang mit Twitter und Facebook und jetzt?
Keith Davis
Hallo Leute
Entschuldigt, wenn ich etwas begriffsstutzig bin, aber könntet ihr näher erläutern... „Alles, was Sie tun müssen, ist den folgenden Code in ein sitespezifisches Plugin einzufügen:“
Welche Plugins sind websitespezifisch?