XMLRPC-Schnittstelle: xmlrpc.php per .htaccess abdichten

Über die XML-RPC-API lässt sich WordPress im Grunde »fernsteuern«, was praktisch sein kann. Doch leider ist die Datei xmlrpc.php dadurch, dass durch sie ein Zugang zu WordPress besteht, immer mehr im Focus von Brute-Force-Attacken. Insofern sollte man handeln und die Datei »sperren« – und zwar bereits auf Serverebene per .htaccess-Datei. Füge in die .htaccess die folgenden Zeilen ein – bitte beachte die Problematik mit der Ping- und Trackback-Funktionalität.

Komplettes Abdichten der Datei xmlrpc.php:

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

 

Problematisch beim kompletten Sperren der xmlrpc.php ist, dass Ping- und Trackbacks sowie Zugriffe über mobile Anwendungen dann nicht mehr funktionieren. Nutzt man den Blog in WordPress, sollte man einzelne »Clients« für den Zugriff auf die Datei freigeben:

<Files xmlrpc.php>
    BrowserMatch "Poster" allowed
    BrowserMatch "WordPress" allowed
    BrowserMatch "Windows Live Writer" allowed
    BrowserMatch "wp-iphone" allowed
    BrowserMatch "wp-android" allowed
    Order Deny,Allow
    Deny from All
    Allow from env=allowed
 </Files>

Mehr Infos: Weitere Möglichkeiten, die xmlrpc.php per .htaccess-Datei abzudichten.

2 Gedanken zu „XMLRPC-Schnittstelle: xmlrpc.php per .htaccess abdichten“

Schreibe einen Kommentar