Wenn Sie XML-RPC nicht verwenden, sollten Sie es auf Ihrer Website deaktivieren, um zu verhindern, dass Bots/Hacker Ihre Website hacken oder Ihre Website durch wiederholte XML-RPC-Angriffe verlangsamen. Das größte Problem bei XML-RPC-Angriffen ist in der Regel nicht, dass sie eindringen, sondern dass sie Ihren Server mit so vielen blockierten Anfragen lahmlegen.
- XML-RPC wird üblicherweise verwendet, um von einer mobilen App oder einem Remote-Publishing-Dienst aus eine Verbindung zu Ihrer Website und Ihrem Blog herzustellen. Wenn Sie nie von irgendwoher auf Ihre Website publizieren, sondern direkt in der WordPress-Verwaltung selbst, können Sie es problemlos deaktivieren!
- Sie können ganz einfach alle xmlrpc.php-Anfragen mit .htaccess blockieren, um zu verhindern, dass sie überhaupt an WordPress weitergeleitet werden. Machen Sie sich nicht die Mühe, dafür ein Sicherheits-Plugin zu verwenden, da diese entweder langsamer sind, um die Blockierung zu verarbeiten, oder im Grunde das Gleiche tun, indem sie das gleiche kleine Stück Code zu Ihrer htaccess hinzufügen.
Apache/LiteSpeed-Server können den folgenden Code in ihre .htaccess-Datei einfügen (vorzugsweise ganz oben):
# WordPress xmlrpc.php blockieren
order deny,allow
deny from all
allow from 123.123.123.123
Kurzer Hinweis… wenn Sie es für bestimmte IPs eingeschaltet lassen müssen, können Sie Ihre IP und auch die IPs von Jetpack (wenn Sie es verwenden) auf eine Whitelist setzen.
Nginx-Server können den folgenden Code in die functions.php einfügen (eingereicht von Regev):
// Disables XML-RPC
add_filter( ‘xmlrpc_enabled’, ‘__return_false’ );
function disable_x_pingback( $headers ) {
unset( $headers[‘X‑Pingback’] );
return $headers;
}
add_filter( ‘wp_headers’, ‘disable_x_pingback’ );
add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
} );