Quicktipp

Codeschnipsel – xmlrpc Schnittstelle in WordPress deaktivieren

Seit WordPress Version 3.5 ist die xmlrpc Schnittstelle in WordPress standardmäßig aktiviert. In den Optionen wurde sie zudem entfernt, so dass die Schnittstelle nicht mehr mit einfachen Klick deaktiviert werden kann. Um die xmlrpc Schnittstelle trotzdem zu deaktivieren, müssen folgende PHP Zeilen in die functions.php Datei vom aktuell genutzten WordPress Theme eingefügt werden.

// -- xmlrpc deaktivieren 
add_filter( 'xmlrpc_methods', function( $methods ) {
   unset( $methods['pingback.ping'] ); return $methods;
} );

Wo finde ich die functions.php?

Klicke im WordPress Adminbackend im Menü auf Design -> Editor. An der rechten Seite ist steht eine Liste mit allen Dateien vom Theme. Die Datei functions.php steht meistens an mittlerer Stelle, je nachdem wie viele Dateien das aktuelle Theme benutzt.

xmlrpc-functionsphp-wordpress

Öffne die functions.php mit einem einfachen Klick und scrolle in der Textarea bis ganz nach unten. Dort muss der oben stehende PHP Code nur noch eingefügt werden. Fertig!

Welchen Sinn hat die Deaktivierung?

Über die xmlrpc-Schnittstelle können externe Programme angebunden werden. Somit kann ein WordPress Blog von außen verwaltet werden – beispielsweise mit WordPress for Android (android.wordpress.org) oder BlogDesk (blogdesk.org). Neben der eigentlichen Verwendung kann die Schnittstelle auch für ein DDoS Netzwerk missbraucht werden! Weitere Informationen zu diesem Thema gibt es auf Sucuri Research.