XML-RPC (xmlrpc.php) ist eine Legacy-WordPress-Schnittstelle für die Fernkommunikation. Sie ist heute hauptsächlich ein Angriffsvektor für Brute-Force- und DDoS-Angriffe.
Warum XML-RPC deaktivieren?
- Brute-Force-Angriffe — Angreifer können Hunderte Passwörter in einer einzigen Anfrage testen.
- DDoS-Verstärkung — Die Pingback-Funktion kann für DDoS-Angriffe missbraucht werden.
- Wird wahrscheinlich nicht benötigt — Die REST API hat XML-RPC für die meisten Anwendungsfälle ersetzt.
Methode 1: Per .htaccess deaktivieren
<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>Methode 2: Per functions.php deaktivieren
add_filter('xmlrpc_enabled', '__return_false');
remove_action('wp_head', 'rsd_link');Methode 3: Nginx
location = /xmlrpc.php {
deny all;
return 403;
}Prüfe, ob du XML-RPC brauchst
Vor dem Deaktivieren prüfe, ob du Jetpack (benötigt XML-RPC) oder die Legacy-WordPress-App nutzt.