XML-RPC (Extensible Markup Language – Remote Procedure Call) ist ein Protokoll, das es externen Anwendungen ermöglicht, über HTTP mit WordPress zu kommunizieren. Es wurde ursprünglich entwickelt, damit Nutzer Blogbeiträge von Desktop-Apps und mobilen Geräten veröffentlichen können — bevor die moderne REST API existierte.
Wie XML-RPC funktioniert
XML-RPC stellt einen einzigen Endpunkt unter deineseite.de/xmlrpc.php bereit, der XML-formatierte Anfragen entgegennimmt. Externe Anwendungen senden Befehle an diesen Endpunkt, WordPress verarbeitet sie und gibt XML-formatierte Antworten zurück. Das Protokoll unterstützt Operationen wie:
- Erstellen, Bearbeiten und Löschen von Beiträgen und Seiten
- Hochladen von Mediendateien
- Verwalten von Kommentaren
- Abrufen von Website-Informationen
- Pingbacks und Trackbacks zwischen Blogs
Historischer Kontext
XML-RPC war in den frühen Tagen von WordPress (vor 2015) unverzichtbar, als es noch keine REST API gab. Anwendungen wie Windows Live Writer, die WordPress Mobile App (ältere Versionen) und Blogging-Clients waren vollständig darauf angewiesen. Mit der Einführung der WordPress REST API in Version 4.7 (2016) wurde XML-RPC für die meisten Anwendungsfälle weitgehend überflüssig.
Sicherheitsrisiken
XML-RPC ist aus mehreren Gründen ein erhebliches Sicherheitsrisiko:
- Brute-Force-Verstärkung — Die
system.multicall-Methode ermöglicht es Angreifern, Hunderte von Benutzername/Passwort-Kombinationen in einer einzigen HTTP-Anfrage zu testen und dabei viele Rate-Limiting-Schutzmaßnahmen zu umgehen. - DDoS über Pingbacks — Angreifer können die Pingback-Funktion missbrauchen, um verteilte Denial-of-Service-Angriffe zu starten und deinen Server als Verstärker zu nutzen.
- Informationspreisgabe — XML-RPC kann gültige Benutzernamen und andere Website-Informationen offenlegen.
- Große Angriffsfläche — Ein einzelner Endpunkt, der Authentifizierung akzeptiert und Schreiboperationen durchführt, ist ein attraktives Ziel.
Wer braucht XML-RPC noch?
Sehr wenige moderne Setups benötigen XML-RPC:
- Jetpack — Jetpack nutzt XML-RPC für einige Funktionen (wechselt aber zur REST API).
- Ältere Mobile Apps — Sehr alte Versionen der WordPress Mobile App.
- Legacy-Integrationen — Einige ältere IFTTT-Rezepte oder Drittanbieter-Publishing-Tools.
Wenn du nichts davon verwendest, solltest du XML-RPC vollständig deaktivieren.
Wie InspectWP hilft
InspectWP prüft, ob dein xmlrpc.php-Endpunkt erreichbar ist und meldet dessen Status. Wenn er aktiviert ist und du ihn nicht benötigst, markiert der Bericht dies als Sicherheitsrisiko mit Anleitungen zur Deaktivierung.