• Zur Hauptnavigation springen
  • Skip to main content
  • Zur Hauptsidebar springen
  • Zur Fußzeile springen
MAMEDi  @  Home » Allgemein / Infos » „XML-RPC“-Schnittstelle deaktivieren

MAMEDi-Logo MAMEDi

  • Home
  • ! BLOG ?
  • Referenzen
  •   
  • Mediation
  • ? MM !
  • Impressum

„XML-RPC“-Schnittstelle deaktivieren

7. Oktober 2016 MAMEDi Kommentar schreiben!

Die „XML-RPC“-Schnittstelle ist als Standardeinstellung in „WordPress“ (seit Version 3.5) aktiviert und sie ist schon ein nützliches Werkzeug, allerdings werden die meisten Benutzer von „WordPress“ diese Option gar nicht gebrauchen. Sie wird z.B. für Pingbacks von anderen Blogs benötigt, auf die man aber wohl ohne Weiteres verzichten kann.

Die „XML-RPC“-Schnittstelle wird gebraucht für:

1. Pingbacks und Trackbacks (= Kommunikation mit anderen Blogs) · Wer als WP-Benutzer gar nicht weiß, was das überhaupt ist, wird sie weder vermissen noch als wichtigen Bestandteil betrachten.
2. „Jetpack“ (= Plugin-Paket von wordpress.com) · Viele ergänzende Helferlein, die zum Teil durchaus ganz interessant sind, für eine funktionierende WP-Homepage jedoch nicht Voraussetzung sind.
3. Mobile Apps (= zum Bearbeiten via Tablet und Smartphone) · Das Backend von „WordPress“ ist inzwischen „Responsive“, insofern besteht eigentlich keine Notwendigkeit mehr dafür.

Sicherheitsrisiko: die „XML-RPC“-Schnittstelle

Auch wer Artikel mit der für Tablets und Smartphones verfügbaren „Mobile App“ schreiben und veröffentlichen will, benötigt dafür die „XML-RPC“-Schnittstelle. Seitdem nun aber das Backend von WP „Responsive“ ist, ist die Darstellung auf mobilen Geräten wirklich sehr gut und übersichtlich, weshalb ich jedenfalls bei keinem Projekt die Möglichkeiten dieser Schnittstelle in Anspruch nehme. Im Gegenteil. Sie zu deaktivieren ist alleine deshalb eine gründliche Überlegung wert, weil sie ein nicht zu unterschätzendes Sicherheitsrisiko darstellt.

Zum Deaktivieren müssen nur ein paar Codeschnipsel in die „functions.php“-Datei (liegt im Ordner des verwendeten WordPress-Themes) und in die „.htaccess“-Datei (liegt auf dem Server im selben Ordner wie die WordPress-Installation) eingefügt werden.

1) In Datei „functions.php“ einfügen

//* XMLRPC-Schnittstelle abschalten
add_filter( 'xmlrpc_enabled', '__return_false' );

Damit ist die Schnittstelle geblockt und stellt kein Sicherheitsrisiko mehr dar. Da sie aber noch im HTTP-Header erscheint und von dort angefragt werden kann, was schlimmstenfalls die Performance der Homepage beeinträchtigt, sollte sie dort ebenfalls entfernt werden.

2a) In Datei „functions.php“ einfügen

//* HTTP-Header von XMLRPC-Eintrag bereinigen
add_filter( 'wp_headers', 'remove_x_pingback' );
function remove_x_pingback( $headers )
{
unset( $headers['X-Pingback'] );
return $headers;
}

Der obige Codeschnipsel (2a) wird sehr häufig und in vielen Artikeln empfohlen, scheint allerdings bei neueren „WordPress“-Versionen (ab Version 4.4) nicht mehr zu greifen, da der Link zur „xmlrpc.php“ trotzdem nach wie vor im Quelltext* der Homepage sichtbar ist. Ob der Link tatsächlich beseitigt wurde, läßt sich z.B. mit „Redbot“ überprüfen.

* Quelltext einer Homepage sichten: bei Firefox die „cmd“-Taste halten und „U“ tippen

Alternativ nehmen wir den folgenden Codeschnipsel (2b) und der besagte Link ist verschwunden. Falls er weiterhin sichtbar bleibt, macht das aber eigentlich nix, denn die beiden anderen Codeschnipsel (1 und 3) erfüllen den gewünschten Zweck und blockieren die Funktion.

2b) In Datei „functions.php“ einfügen

//* RSD-Link beseitigen
remove_action('wp_head', 'rsd_link');

Als letzten Schritt fügen wir den folgenden Codeschnipsel (als erstes vor allen anderen Angaben) in die „.htaccess“-Datei, damit auch versteckte Zugriffe grundsätzlich unterbunden werden. Von der „functions.php“-Datei sowie der „.htaccess“-Datei sollte man am Besten vorher eine Sicherheitskopie anlegen, falls dabei unerwarteterweise doch etwas schiefgeht.

3) In Datei „.htaccess“ einfügen

# XML-RPC Schnittstelle abschalten
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Das war’s und wir haben die Sicherheit erhöht. Das Thema Sicherheit sollte man nicht auf die leichte Schulter nehmen, denn schließlich ist „WordPress“ inzwischen das weltweit beliebteste Content-Management-System (= CMS), was es auch für Hacker immer interessanter macht.

Allgemein / Infos, Design + WordPress Sicherheit, WordPress

Who is „MAMEDi“?

Unter dem programmatischen Akronym „MAMEDi“ schreibt hier der Schlagzeuger, Komponist und Dipl.-Musikpädagoge „Manfred Menke“ (Dinklage) unregelmäßig nach Lust und Laune und garantiert völlig meinungsfrei über alles (Un)Mögliche. Da er für verschiedene Projekte als „Mediengestalter“ tätig ist, befasst sich ein Teil seiner BLOG-Artikel mit Problemen, die bei der Organisation, der Aktualisierung und der Pflege von Internetpräsenzen auftreten können, wobei er grundsätzlich an funktionierenden und praktischen Lösungen interessiert ist.

Homepage: „www.manfred-menke.de“, Projekt: „www.schlagzeug-dinklage.de“

Vorheriger Beitrag: « NDR-Reportage „Verbotenes Gemüse“
Nächster Beitrag: „Postfaktisch“ – Das ist ja ganz was Neues! »

Leser-Interaktionen

Kommentar schreiben! Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Haupt-Sidebar

Hallo Blog-Leser(in)!

MAMEDi-Logo

Für die Richtigkeit oder den „Wahrheitsgehalt“ der hier bereit gestellten Informationen geben die Autoren keine Gewähr und übernehmen auch keine Haftung für irgendwelche daraus resultierenden Konsequenzen. Deshalb gilt das ironisch formulierte Motto: „Lesen auf eigene Gefahr!“. Oder: „Alles, was hier steht ist wahr, auch wenn's nicht stimmt, ist das klar!“

MAMEDi

SD-Visitenkarte
DEMO-Homepage
! Ach, wie „süss“ ist das denn ?

Kaum zu glauben. Dieser (alte) Zuckertopf ist das letzte Überbleibsel von einem „Kaffeeservice“ meiner Mutter und ist bereits mehr als 60 Jahre alt. Nun ziert er als süßes Favicon die „DEMO“-Homepage.

Die letzten 13 Artikel

  • Zeitenwende · Philosophische Momente
  • Ein frohes, neues Jaaaaahhh!
  • Dynamische Wahrheit
  • Haben wir nicht auch alle Wurzeln?
  • Desinfektion mit Chlordioxid
  • Konzert · Arparimba im Autohaus Ruhe
  • Tschüss Berlingo!
  • Konzert: „Zeitgenössische Musik“ (Dinklage)
  • Herbst im Burgwald Dinklage
  • Unerwünschtes „OSTER“-Feuer am Friedhof
  • Ein Logo für Schlagzeug Dinklage
  • Triomotion begeistert das Publikum
  • Konzert mit „TRIOMOTION“ in Dinklage
Snatakazing

Kategorien

  • Allgemein / Infos (38)
  • Computer + Technik (12)
  • Design + WordPress (39)
  • Ernährung + Umwelt (22)
  • Geh Dichte + Texte (31)
  • Ideen, Leben, Werte (36)
  • Musik + Projekte (33)
  • Politisch – Unkorrekt! (30)
  • Spaß + Humor = Ernst (14)

Strichgesicht @ MAMEDi

MAMEDi-Logo

Diese am 8. März 2009 spontan gekritzelte Bleistiftzeichnung zeigt ein vor Begeistertung leicht schielendes „Strichgesicht“ und ist seit 2014 das Maskottchen dieser Homepage, die anfänglich unter „mmdiesein.de“ firmierte und seit August 2013 unter „MAMEDi“ läuft.

Footer

   
! Datenschutz ?

Kontakt  @  MAMEDi

Fon  (0 44 43) 50 84 54
Mobil  (01 79) 32 56 808
E-Post:  „mail@mamedi.de“

MAMEDi-Schuhe

Web · Projekte

Barfuß gehen ist zwar schön, für manche Wege aber ungeeignet. Deshalb ist gutes Schuhwerk wichtig, um unversehrt ans Ziel zu kommen. Eine Homepage benötigt ebenfalls eine solide Basis. Diese hier wird mit „WordPress“ als Motor angetrieben.

Die letzten 13 Artikel

  • Zeitenwende · Philosophische Momente
  • Ein frohes, neues Jaaaaahhh!
  • Dynamische Wahrheit
  • Haben wir nicht auch alle Wurzeln?
  • Desinfektion mit Chlordioxid
  • Konzert · Arparimba im Autohaus Ruhe
  • Tschüss Berlingo!
  • Konzert: „Zeitgenössische Musik“ (Dinklage)
  • Herbst im Burgwald Dinklage
  • Unerwünschtes „OSTER“-Feuer am Friedhof
  • Ein Logo für Schlagzeug Dinklage
  • Triomotion begeistert das Publikum
  • Konzert mit „TRIOMOTION“ in Dinklage

Über MAMEDi

Logo · MAMEDI.DE Der Name „MAMEDi“ ist das „Akronym“ für „Manfred Menke, Dinklage“ und präsentiere auf dieser Seite u.a. meine Arbeit als Mediengestalter. Dazu gehören Konzeption und Gestaltung von Internetseiten sowie die Erstellung von Drucksachen wie Flyer und Plakate. Das Motto „Lesen auf eigene Gefahr!“ für den BLOG gilt weiterhin.

MM-Homepage

MM-2018-Favicon Wenn ich gerade kein Medium gestalte oder irgendwelche Pixel als „MAMEDi“ hin und her schubse, schlage ich genauso begeistert ganz woanders zu. Ausführliche Informationen zu allen Kompositionen und über meine Aktivitäten im Arbeitsfeld als Schlagzeuger, Komponist und Dipl.-Musikpädagoge gibt es auf meiner „MM“-Homepage, die meine musikalische (Internet)Seite dokumentiert.

Musik: „www.manfred-menke.de“
Vier Pflaumen
  • Home
  • ! BLOG ?
  • Referenzen
  • ? MM !
  • Impressum

MAMEDi  ·  Copyright © 2022  ·  WordPress