Disable XML-RPC-API for WordPress

Wenn Sie schon seit einiger Zeit eine WordPress-Site betreiben, haben Sie wahrscheinlich Horrorgeschichten darüber gehört, dass XML-RPC Hackern oder Bots, die Ihre Login-Daten ausnutzen, Angriffsfläche bietet. Ja, das hat mich dazu bewogen, die Deaktivierung der XML-RPC-API für WordPress auszuprobieren. Es handelt sich um ein einfaches Plugin, das im Grunde die XML-RPC-Schnittstelle, auf die viele Angriffe abzielen, abschaltet, sodass Ihre Website nicht in die Schusslinie gerät. Ich war mir nicht sicher, wie wichtig es war, bis ich sah, dass die CPU-Auslastung meines Servers nach der Einrichtung sank – und ich fühlte mich einfach besser, weil ich wusste, dass eine weitere Tür fest verschlossen war.

Die guten Sachen

Was mich wirklich beeindruckt hat, war die einfache Einrichtung. Keine komplizierten Konfigurationen oder seltsamen Berechtigungen. Einfach installieren, aktivieren und schon ist der Boom-XML-RPC-Zugriff deaktiviert. Mir gefiel auch, dass xmlrpc.php nicht einfach blind blockiert wurde. Wenn Sie möchten, können Sie IP-Adressen auf die Whitelist setzen. Dies ist praktisch, wenn Sie Remote-Apps oder legitime Dienste verwenden, die weiterhin XML-RPC benötigen. Außerdem bereinigt es Pingback-Links, die nicht nur störend sind, sondern auch für DDoS-Angriffe ausgenutzt werden können, was ein netter Nebeneffekt ist.

Ein weiterer cooler Aspekt ist die Option, den XML-RPC-Slug umzubenennen oder die JSON-REST-API zu deaktivieren. Ich persönlich habe nicht viel damit herumgespielt, aber es ist schön, diese Extras zu haben, um ein bisschen mehr Kontrolle darüber zu haben, wie Ihre Website mit der Außenwelt kommuniziert. Und Ihre WordPress-Version verstecken? Es ist immer gut, die neugierigen Hacker auf dem Laufenden zu halten.

Das nicht so Gute

Hier ist die Sache: Dieses Plugin ist ziemlich einfach. Es gibt kein auffälliges Dashboard oder ständige Erinnerungen, was manche Leute vielleicht zu zurückhaltend finden. Wenn Sie sich bei Dingen wie Jetpack oder bestimmten mobilen Apps stark auf XML-RPC verlassen, könnte dies Ihren Arbeitsablauf unterbrechen, es sei denn, Sie fummeln an der Whitelist herum. Außerdem gibt es nicht viele Informationen darüber, wer dies erstellt hat oder wie oft es aktualisiert wird, was mich zunächst zum Nachdenken brachte. Sicherheits-Plugins müssen scharf gehalten werden, sonst besteht die Gefahr, dass sie unbrauchbar werden. Deshalb würde ich mir dort mehr Transparenz wünschen, bevor ich mich langfristig darauf verlassen kann.

Schließlich gibt es keine kostenlose Testversion oder Premium-Version, aber ehrlich gesagt ist das für das, was es leistet, in Ordnung.

Fazit

Wenn Sie eine WordPress-Site betreiben und eine schnelle und unkomplizierte Möglichkeit suchen, XML-RPC-Angriffe zu stoppen, ist Disable XML-RPC-API for WordPress einen Versuch wert. Es ist kostenlos, unkompliziert und wenn es erst einmal aktiviert ist, können Sie es wahrscheinlich vergessen, während Ihr Server etwas ruhiger wird. Erwarten Sie jedoch nicht, dass es eine vollständige Sicherheitssuite ersetzt oder Ihnen hilft, wenn Sie XML-RPC aus legitimen Gründen benötigen. Für die meisten Leute, insbesondere diejenigen, die keine Remote-WordPress-Apps verwenden, wird dieses Plugin die Aufgabe erfüllen und die Dinge ohne großen Aufwand ein wenig sicherer machen.