Pingbacks? BruteForce? DDoS?

Meine lieben WordPress Freunde. Ist bei euch die xmlrpc.php aktiv? – Wenn man davon noch nie gehört hat, ist die Antwort vermutlich 𝗝𝗔. Und ich muss euch mitteilen „Das ist nicht gut“

𝗔𝗯𝗲𝗿 𝘄𝗮𝘀 𝗶𝘀𝘁 𝗱𝗶𝗲 𝘅𝗺𝗹𝗿𝗽𝗰 𝗲𝗶𝗴𝗲𝗻𝘁𝗹𝗶𝗰𝗵?

XML-RPC ist eine Schnittstelle die Daten zwischen WordPress und anderen Systemen ermöglicht. Soweit so gut, aber mittlerweile wurde sie eigentlich komplett durch die REST-API ersetzt und ist damit so überflüssig, wie <Metapher einfügen> (Ich bin nicht gut in Metaphern)

Bis WordPress 3.5 war die XML RPC Schnittstelle standardmäßig deaktiviert. Aber damit WordPress mit der Mobile App kommunizieren konnte ist sie Seit 3.5 standardmäßig aktiv obwohl sie nicht genutzt wird.

𝗢𝗸, 𝘂𝗻𝗱 𝘄𝗮𝘀 𝗶𝘀 𝘀𝗼 𝘀𝗰𝗵𝗹𝗶𝗺𝗺 𝗱𝗮𝗿𝗮𝗻?

Werdet ihr euch jetzt sicher fragen. Zu Recht, wie ich meine. Drum will ich es euch sagen:
Unfreundliche Zeitgenossen können diese Schnittstelle nutzen um euch mit Pingbacks zu überfluten, wodurch eure Seite lahmgelegt wird. Gerade bei der Schlüsseldienst-Mafia neben dem Phoneblocking eine sehr beliebte Vorgehensweise um Konkurrenten auszutrocknen.

Außerdem kann ein pfiffiger Mensch mit einer Username / Passwort Liste eine BruteForce Attacke gegen eure Seite starten, ohne dass er die /wp-login jemals aufgerufen hat. Ich persönlich finde das mehr als Schlimm.

𝗞𝗹𝗶𝗻𝗴𝘁 𝗮𝗹𝗹𝗲𝘀 𝗻𝗶𝗰𝗵𝘁 𝘀𝗼 𝗿𝗼𝘀𝗶𝗴 𝗼𝗱𝗲𝗿?

Nun aber zu den guten Neuigkeiten: Es gibt mehrere Wege, wie man dieses Problem beheben kann. Zum einen könnt Ihr euch ein Plugin installieren. Aber das wollen wir ja gar nicht.

𝗦𝗼 𝗱𝗲𝗮𝗸𝘁𝗶𝘃𝗶𝗲𝗿𝘁 𝗺𝗮𝗻 𝗱𝗶𝗲 𝗦𝗰𝗵𝗻𝗶𝘁𝘁𝘀𝘁𝗲𝗹𝗹𝗲:

𝘝𝘢𝘳𝘪𝘢𝘯𝘵𝘦 1: 𝘝𝘪𝘢 .𝘩𝘵𝘢𝘤𝘤𝘦𝘴𝘴

Füge einfach den folgenden Code deiner .htaccess hinzu:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>;

Variante 2: Via NGINX Direktive

location = /xmlrpc.php { deny all; }

𝘝𝘢𝘳𝘪𝘢𝘯𝘵𝘦 3: 𝘝𝘪𝘢 𝘞𝘰𝘳𝘥𝘗𝘳𝘦𝘴𝘴 𝘍𝘶𝘯𝘤𝘵𝘪𝘰𝘯𝘴

Füge den folgenden Code einfach deiner functions.php hinzu:

add_filter( 'xmlrpc_enabled', '__return_false' );

𝗞𝗲𝗶𝗻𝗲 𝗦𝗼𝗿𝗴𝗲, 𝗱𝘂 𝗺𝘂𝘀𝘀𝘁 𝗻𝘂𝗿 𝗲𝗶𝗻𝗲 𝗱𝗲𝗿 𝗩𝗮𝗿𝗶𝗮𝗻𝘁𝗲𝗻 𝗲𝗶𝗻𝗯𝗮𝘂𝗲𝗻. 𝗔𝗺 𝗯𝗲𝘀𝘁𝗲𝗻 𝗱𝗶𝗲, 𝗱𝗶𝗲 𝗳𝘂̈𝗿 𝗱𝗶𝗰𝗵 𝗮𝗺 𝗲𝗶𝗻𝗳𝗮𝗰𝗵𝘀𝘁𝗲𝗻 𝗶𝘀𝘁.