1. Home
  2. Tipps & Tricks
  3. Was ist xmlrpc.php und wie kann ich diese löschen oder deaktivieren?

Was ist xmlrpc.php und wie kann ich diese löschen oder deaktivieren?

Was ist die xmlrpc.php und warum sollte ich diese löschen oder deaktivieren?

In diesem Artikel möchten wir zeigen, wie man xmlrpc.php löscht oder deaktiviert und warum bzw. wann dies gemacht werden sollte. Ebenfalls gehen wir hier darauf ein, was xmlrpc.php überhaupt ist.


Was ist xmlrpc.php und wofür wird diese benötigt?

Die xmlrpc.php ist eine WordPress-Spezifikation, welche dafür gedacht war, andere Anwendungen außerhalb von WordPress (wie z.B. Desktop Clients, Programme oder andere Blogging Plattformen) miteinander kommunizieren zu lassen.

Die Datei war von Anfang an ein Teil der WordPress Installation und hat hier eine sehr nützliche Funktion übernommen. Ohne diese Spezifikation wäre es WordPress nicht möglich gewesen mit anderen Plattformen zu kommunizieren und WordPress wäre abgetrennt vom Rest des Internets gewesen. Ebenfalls diente diese Datei damals für den Zugriff auf deine WordPress Installation über die WordPress Mobile App.

xmlrpc.php wurde mittlerweile jedoch durch die WordPress-REST-API ersetzt, welche ohnehin viel bessere Arbeit leistet, da xmlrpc.php viele Schwachstellen und Mängel aufgewiesen hat.

Warum sollte ich xmlrpc.php deaktivieren oder löschen?

Der Hauptgrund für die Deaktivierung oder das Löschen der Datei ist simpel erklärt.
Xmlrpc.php ist eine große Sicherheitslücke für dein WordPress, welche gerne als Ziel für Angriffe auf deine Website genommen wird.

Durch die Einführung der REST API in WordPress wird xmlrpc.php jedoch nicht mehr benötigt, um außerhalb von WordPress zu kommunizieren, weshalb es hier keinen Grund mehr gibt, diese aktiv zu lassen oder zu nutzen. Deshalb ist es für die Sicherheit deiner Seite besser, diese zu deaktivieren oder zu löschen.

„Wenn durch die xmlrpc.php Sicherheitslücken in WordPress entstehen, warum wurde diese dann nicht aus WordPress entfernt?“

Der Grund hierfür ist, dass WordPress vor allem für seine Abwärtskompatibilität immer bekannt sein wird. Wenn du deine Website gut kennst und verwaltest, wird dir klar sein, wie wichtig es ist, sowohl WordPress an sich als auch Plugins und Themes immer auf dem neuesten Stand zu halten.

Jedoch wird es immer Webseitenbesitzer geben, welche ihr WordPress nicht aktualisieren wollen oder können. Verwenden diese also eine WordPress Version, welche älter als die REST API ist, benötigen diese die xmlrpc.php noch.

Welche Schwachstellen existieren durch xmlrpc.php?

Die wohl bekanntesten Schwachstellen, welche durch xmlrpc.php entstehen, sind sog. DDoS-Angriffe per Pingbacks und Brute Force Angriffe direkt über die Datei.

Eine Bekannte Funktion, welche durch xmlrpc.php aktiviert wurde, waren Pingbacks und Trackbacks. Dies sind Benachrichtigungen, welche auf deiner Website in den Kommentaren erscheinen, wenn eine andere Website oder ein anderer Blog auf deinen Inhalt verlinkt.

Diese Kommunikation wurde damals durch die xmlrpc.php ermöglicht, jedoch wie oben beschrieben durch die REST API vollständig abgelöst.

Ist nun xmlrpc.php auf deiner Website aktiviert, könnte ein Hacker somit einen DDoS-Angriff auf deine Website starten, indem er durch die Ausnutzung der Datei eine große Anzahl von Pingbacks direkt an deine Seite sendet. Dies könnte zur Folge haben, dass der Server überlastet wird und somit deine Website nicht mehr erreichbar ist.

Immer, wenn xmlrpc.php eine Anfrage macht, sendet dies den Benutzernamen und das Passwort zur Authentifizierung. Diese Sicherheitslücke ist ein erhebliches Problem für die Sicherheit deiner Website. Die neuere REST API arbeitet hier mit einem OAuth, ein Token, welches zur Authentifizierung erstellt, versendet und genutzt wird. Hier werden somit weder Benutzername, noch Passwort preisgegeben.

Da bei jeder Anfrage Authentifizierungsinformationen gesendet werden, könnten sich Hacker dies zunutze machen und die generierten Informationen abfangen, um zu versuchen, auf deine Website zuzugreifen. Durch solch eine Brute-Force-Attacke wie hier beschrieben, wäre es ihnen somit möglich, Inhalte einzufügen und zu verändern. Ebenfalls könnten sie somit Codes verändern oder löschen sowie deine Datenbank beschädigen.

Genau aus diesen Gründen solltest du, sofern du eine aktuelle WordPress Version zusammen mit der REST API verwendest, die xmlrpc.php deaktivieren oder löschen. Diese wird nicht benötigt und könnte deine Website angreifbar machen.

Benutzt meine WordPress Website xmlrpc.php?

Dies lässt sich nicht so einfach überprüfen, da xmlrpc.php Teil von jeder WordPress Installation ist und auch dann vorhanden sein wird, wenn du diese deaktiviert hast.

Als Erstes solltest du dir immer ein aktuelles Backup deiner Website erstellen, bevor du etwas löschst. Würde man die xmlrpc.php einfach löschen, würde dies die WordPress Seite zerstören.

Wenn du überprüfen möchtest, ob auf deiner Website xmlrpc.php aktiviert ist, benutze den WordPress XML-RPC Validation Service. Dieser überprüft deine Website und teilt dir mit, ob xmlrpc.php aktiviert ist.


Wie deaktiviert man die xmlrpc.php?

Hier gibt es mehrere Methoden, mit welchen man die xmlrpc.php deaktivieren kann.


Deaktivierung per Plugin im WordPress Backend

Die xmlrpc.php durch ein Plugin zu deaktivieren, ist der einfachste und sicherste Weg, um dies zu tun. Durch das Disable XML-RPC-Plugin wird die xmlrpc.php komplett deaktiviert.
Alles was du dafür tun musst, ist das Plugin in deinem WordPress Backend zu installieren und zu aktivieren. Hierdurch wird die xmlrpc.php bereits deaktiviert.

Möchtest du jedoch nur einige Aspekte der xlmrpc.php deaktivieren, kannst du dies mit dem Plugin Disable XML-RPC Pingback-Plugin tun. Hiermit wird lediglich die Pingback-Funktion der xmlrpc.php deaktiviert. Zu allen anderen Funktionen der xmlrpc.php hast du somit noch Zugang.
Das Plugin funktioniert ebenso wie das Disable XML-RPC-Plugin, einfach installieren und aktivieren und schon ist die Pingback-Funktion deaktiviert.

XMLRPC und REST API-Aktivierung per Plugin konfigurieren und verwalten

Möchtest du genauere Kontrolle darüber, wie genau die xmlrpc.php als auch die REST API auf deiner Website konfiguriert sind? Dann verwende das REST XML-RPC Data Checker Plugin.

Sobald du dieses Plugin in deinem WordPress Backend aktiviert hast, gehst du in deine Einstellungen > REST XML-RPC Data Checker und klickst auf den XML-RPC Reiter.

Hier kannst du ganz genau konfigurieren, welche Teile der xmlrpc.php auf deiner Website aktiv sein sollen. Alternativ kannst du die xmlrpc.php hier auch ganz einfach ausschalten. Ebenfalls bietet dir das Plugin die Möglichkeit der Kontrolle über die REST API auf deiner Website in einem weiteren Tab.

Wie deaktiviert man die xmlrpc.php ohne Plugin?

Möchtest du lieber kein weiteres Plugin auf deiner Website installieren, kannst du die xmlrpc.php auch in deiner .htaccess deaktivieren oder einen Code in deiner Plesk Benutzeroberfläche einfügen.

Deaktivierung per .htaccess

Für die deaktivierung der xmlrpc.php per .htaccess gehst du folgendermaßen vor.
1. Erstelle eine Kopie deiner .htaccess Datei, falls etwas schief gehen sollte

2. Füge folgenden Code in deine .htaccess Datei ein:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>


Wann sollte ich die xmlrpc.php aktivieren?

In einigen Fällen ist es nötig, die xmlrpc.php aktiviert zu lassen, da deine Website bzw. Anwendungen, welche mit deiner Website kommunizieren, nicht funktionieren.

In folgenden Fällen sollte die xmlrpc.php aktiviert bleiben:

  • Deine Website verwendet nicht die REST API, jedoch benötigst du Kommunikation zwischen deiner WorPress Website und anderen Systemen.
  • Du kannst die WordPress Version deiner Website nicht auf Version 4.4 oder höher updaten und hast somit keinen Zugriff auf die REST API. Dies ist oft der Fall, wenn Themes oder Plugins nicht mit höheren WordPress Versionen kompatibel sind. Hier empfehlen wir, inkompatible Plugins und Themes zu ersetzen oder aktualisieren.
  • Du benutzt eine externe Anwendung, welche nicht die WordPress REST API, sondern die XML-RPC verwendet. Hier empfehlen wir, diese Anwendung zu aktualisieren oder auf eine für REST API kompatible Anwendung zu wechseln.






Zuletzt geändert: 25. November 2021

War dieser Artikel hilfreich?

Empfohlene Artikel