Wie deaktiviere ich XML-RPC in WordPress manuell und Plugins?

BY admin
|

WordPress Deaktivieren XMLRPC

So deaktivieren Sie XMLRPC.php in WordPress - Xml Rpc WordPress Plugins

Der XMLRPC.PHP ist ein System, das Remote-Updates für WordPress von verschiedenen anderen Anwendungen autorisiert. Dieser Beitrag über WordPress Xmlrpc wird Ihnen helfen zu verstehen, warum das Deaktivieren von WordPress XMLRPC eine gute Idee ist und 4 Möglichkeiten, xmlrpc in WordPress manuell & mithilfe von Plugins zu deaktivieren.

Was ist WordPress XMLRPC?

XMLRPC.php ist eine Funktion, die Remote-Verbindung zu WordPress ermöglicht. Diese API bietet Entwicklern von Desktop-Apps und mobilen Apps die Möglichkeit, mit Ihrer WordPress-Website zu kommunizieren. Diese API bietet Entwicklern das Schreiben von Anwendungen, mit denen Sie zahlreiche Dinge tun können, wenn Sie über die Weboberfläche bei WordPress angemeldet sind, darunter –

  • Jedes Mal, wenn Sie eine neue Datei hochladen, z. B. ein Bild für einen Beitrag.
  • Wenn Sie Kommentare bearbeiten.
  • Wann immer Sie einen Beitrag bearbeiten.
  • Wann immer Sie einen Beitrag löschen.
  • Wann immer Sie einen Beitrag veröffentlichen.
  • Wann immer Sie eine Liste von Kommentaren erhalten.

Um den xmlrpc besser zu verstehen.PHP-Datei, ist es zwingend notwendig, mit den folgenden Grundlagen vertraut zu sein –

  • RPC ist Remote Procedure Call – Dies hilft Ihnen, eine Prozedur remote von einer Workstation oder einem Gerät aus aufzurufen.
  • XML (Extensible Markup Language) – Diese spezielle Sprache wird zum Speichern und Transportieren von Daten verwendet, ähnlich wie HTTP.
  • HTTP (Hyper Text Transfer Protocol) – Es ist ein Anwendungsprotokoll, das definiert, wie die Nachrichten formatiert und weiter über das World Wide Web übertragen werden. Das Protokoll bestimmt auch die Aktionen der Webserver und Browser als Reaktion auf die Befehle. In diesem Fall können die Daten mit Hilfe von HTTP einfach von einem Remote-Gerät auf eine Website übertragen werden.
  • PHP (Hypertext Pre-Processor) – Es ist eine Skript- und Programmiersprache. Diese spezielle Sprache dient hauptsächlich dynamischen Websites. Es wird verwendet, um ein Gespräch zwischen –
  • Dem Benutzer
  • Der Website
  • Den Datenbanken

zu führen, also technisch gesehen mit xmlrpc.php-Datei Ein Remote-Prozeduraufruf wird erleichtert. Dies geschieht mithilfe von XML, um die Nachricht zu codieren und über HTTP zu senden. Auf diese Weise können Informationen zwischen Geräten oder Computern ausgetauscht werden.

what-is-xmlrpc-how-xml-Rpc-works

Warum Sie XML-RPC in WordPress deaktivieren sollten

Obwohl es erstaunlich klingt, eine Website mit einem einzigen Befehl zu aktualisieren, der remote ausgelöst wird. aber leider wirft es auch eine große rote Fahne auf , und genau das ist mit der XML-RPC-Funktion in WordPress passiert.

Anfangs war es eine gute Idee, diese Funktionalität in WordPress aufzunehmen, aber bald wurde klar, dass sie Hackern, Skript-Bots oder anderen, die versuchen, auf Ihre WordPress-Site zuzugreifen, eine Hintertür in WordPress öffnen kann, um sie zu betreten und zu missbrauchen. Vor WordPress 3.5 war diese Funktionalität standardmäßig deaktiviert, aber bald danach ist WordPress xmlrps standardmäßig aktiviert.

Zweifellos ist dies die am meisten missbrauchte Funktionalität von WordPress. Es kann zu vielen fehlerhaften Anfragen von Hackern, Bots und Skripten führen, die alle versuchen, sich über einen organisierten XML-RPC-WordPress-DDOS-Angriff in Ihre WordPress-Site zu hacken.

Gemeinsame XML-RPC-Angriffe

In den letzten zwei Jahren nach zwei Angriffen auf XMLRPC haben immense Berichterstattung erhalten, lassen Sie uns sie im Detail diskutieren –

  • Brute-Force-Angriffe über XML-RPC – Sie müssen sich keine Sorgen machen, wenn Sie die fachkundige Anleitung von WP hacked Help haben, denn sobald der Hacker das Anmeldeversuchslimit erreicht hat, blockieren wir den Hacker einfach. Gemäß dem Angriff versucht der Hacker, sich mit Hilfe von xmlrpc auf Ihrer WordPress-Website anzumelden.PHP. Lassen Sie uns unten im Detail sehen, wie dies gemacht wird und wie Sie dies nutzen können, während Sie eine Website auf potenzielle WordPress-Schwachstellen testen. Mit einem einzigen Befehl können Hacker Hunderte von verschiedenen Passwörtern untersuchen. Dadurch können sie Sicherheitstools umgehen, die Brute-Force-Angriffe in WordPress erkennen und blockieren. Mit unseren WordPress-Sicherheitsdiensten können Sie Ihre Website vor Hackern schützen.
  • DDoS via XML-RPC Pingbacks – Dies kann nicht als effektive Art von DDoS bezeichnet werden und zahlreiche Anti-Spam-Plugins konnten diese Art von Missbrauch erfolgreich entdecken. Damit nutzten Hacker die Pingback-Funktion in WordPress, um Pingbacks an Tausende von Websites gleichzeitig zu senden. Diese xmlrpc.diese Funktion bietet Hackern mit zahlreichen IP-Adressen die Möglichkeit, ihre DDoS-Angriffe zu senden.

BrutForce-Angriff

1 – Wenn Sie xmlrpc öffnen.php, Sie werden dies unter sehen –

http://<xyz.com>/<wordpress directory>/xmlrpc.php

WordPress XML-RPC Angriff

2- Öffnen Sie nun Ihren Proxy und Sie müssen die Anfrage erneut senden.

3- In diesem Stadium müssen Sie eine Post-Anfrage senden und eine Liste aller Methoden erstellen, auf die Sie zugreifen können. Sie fragen sich vielleicht, warum? Auf diese Weise werden Sie mit allen Aktionen vertraut sein, die möglich sind, um sie für den Angriff auszuführen und zu verwenden.

Um alle Methoden aufzulisten, müssen Sie eine Post-Anfrage mit den unten im Bild genannten Post-Daten senden.

<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>

WordPress XML-RPC Vulnerability

Schauen Sie sich Folgendes genauer an, wenn sie bei Ihnen sind, können wir den Angriff fortsetzen

*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs

3- Sie müssen Folgendes in der POST-Anfrage senden, um eine Brute-Force-Anmeldung durchzuführen. Wenn Sie andere gültige Benutzernamen kennen, kann wp-scan Ihnen helfen, gültige Benutzernamen zu finden.

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>

brute force xmlrpc wordpress

4 – Alles was Sie brauchen, um diese in Eindringling und Brute-Force-weg geben. Es spielt keine Rolle, ob Sie ein korrektes oder ein falsches Passwort eingegeben haben. Hier müssen Sie sich basierend auf der Größe der Antwort zwischen falsch und richtig entscheiden. Falls Sie Intruder verwenden, lautet die Antwort auf die korrekte Anmeldung wie folgt –

XML-RPC Schwachstelle WordPress

Wofür kann XML-RPC verwendet werden

XMLRPC hat seinen fairen Anteil an Anwendungen, lassen Sie uns darüber diskutieren –

  • Wenden Sie Pingbacks und Trackbacks an – Gemäß dieser Methode werden Blogs benachrichtigt, dass Sie mit ihnen verlinkt haben. XMLRPC-Trackbacks werden manuell erstellt und ein kurzer Extrakt muss freigegeben werden. XMLRPC-Pingbacks sind automatisiert und es muss kein kurzer Auszug geteilt werden.
  • Bereitstellung des Remote–Zugriffs auf Ihre Website und der Möglichkeit, Änderungen vorzunehmen – Nehmen wir eine Situation an, in der Sie Änderungen an Ihrem WordPress-Blog vornehmen müssen, aber leider keinen Zugriff auf Ihren Laptop oder Computer haben.

Sie können die WordPress-Anwendung auf Ihrem Smartphone installieren, um auf Ihrer Website zu posten. Die App kann dies mit Hilfe einer Funktion namens Remote Access ausführen, die durch eine Datei namens xmlrpc aktiviert wird.PHP.

  • Ermöglicht dem JetPack-Plugin die Verbindung zu WordPress.com – In den letzten paar Jahren hat das Plugin immense Popularität auf der ganzen Welt gewonnen. Mit dem JetPack-Plugin können Sie Ihre WordPress-Website entwerfen, sichern und erweitern. Wenn Sie eine Verschmelzung der WordPress-App und JetPack verwenden, benötigen Sie den xmlrpc.PHP-Datei für das reibungslose Funktionieren.

Wie deaktiviere ich XMLRPC in WordPress?

Warum nicht einfach xmlrpc deaktivieren?

Es ist einfach, dies mit Hilfe des oben diskutierten Plugins zu tun; Wenn Sie jedoch berühmte Plugins wie JetPack verwenden, funktionieren diese Plugins nicht mehr vollständig.

Hier werden wir drei Möglichkeiten diskutieren, mit denen Sie XML-RPC auf der WordPress-Website einfach deaktivieren können.

XML-RPC in WordPress 3.5 deaktivieren

Sie müssen lediglich den folgenden Code in ein Site-spezifisches Plugin einfügen:

1
add_filter('xmlrpc_enabled', '__return_false');

Deaktivieren von XML-RPC mit einem Plugin –

Da sich im WordPress-Repository mehrere Plugins befinden, deaktivieren Sie xmlrpc.php wird einfach sein. Wir zeigen Ihnen, wie es geht, Schritt für Schritt, mit Hilfe von ‚deaktivieren xmlrpc Plugin‘.

  • Im ersten Schritt müssen Sie sich in Ihrem wp-Admin-Dashboard anmelden. Sobald Sie sich angemeldet haben, müssen Sie zu Plugins gehen.
  • Neben den Plugins wird add new angezeigt.

plugin disable xmlrpc

Mit Hilfe einer Suchleiste müssen Sie nach disable Xmlrpc suchen. Sie müssen das folgende Plugin in den Ergebnissen sehen –

plugin deaktivieren xmlrpc wordpress

Hier müssen Sie ein deaktiviertes xmlrpc-Plugin aktivieren und installieren. Sobald Sie das Plugin aktivieren, wird die xmlrpc-Funktion deaktiviert. Die Version Ihrer WordPress-Website muss 3.5 und höher sein.

Da das Plugin kostenlos ist, sollten Sie die regelmäßigen Updates, die das Plugin erhält, überprüfen und sicherstellen, dass es von seinem Ersteller weiterhin verwendet wird.

WordPress Xmlrpc-Plugins deaktivieren

XML-RPC deaktivieren

Dieses Plugin funktioniert mit der WordPress-Website-Version 3.5 oder höher. WordPress-Websites mit Version 3.5 oder höher, xmlrpc ist standardmäßig aktiviert. Darüber hinaus wurde die Option zum Aktivieren und Deaktivieren des xmlrpc entfernt. Es gibt zahlreiche Gründe, aus denen die Eigentümer die Funktionalität deaktivieren möchten. Mit diesem Plugin kann es leicht gemacht werden. So können Sie dieses Plugin installieren –

  • Um dieses Plugin zu installieren, müssen Sie das xmlrpc-Verzeichnis während der Installation von WordPress in das Verzeichnis /wp-content /plugins / hochladen.
  • Sie können das Plugin über das Menü ‚Plugins‘ in WordPress aktivieren.
  • Zu diesem Zeitpunkt ist Ihr xmlrpc deaktiviert.

Entfernen Sie & Deaktivieren Sie XML-RPC Pingback

Sie müssen kein Opfer von Pingback-Denial-of-Service-Angriffen sein. Sobald Sie das Plugin aktiviert haben, wird xml-rpc automatisch deaktiviert. Das Beste an diesem Plugin ist, dass Sie nichts konfigurieren müssen. Wenn Sie xmlrpc Pingback deaktivieren, können Sie die CPU-Auslastung des Servers reduzieren.

wordpress XMLRPC Pingback attack

Installieren Sie das Plugin über das WordPress-Dashboard –

  • Im Plugins-Dashboard müssen Sie zu ‚Neu hinzufügen‘ navigieren.
  • Hier müssen Sie nach ‚Remove XMLRPC Pingback Ping‘ suchen.
  • Zu diesem Zeitpunkt müssen Sie auf ‚Jetzt installieren‘ klicken.
  • Nun müssen Sie das Plugin im Plugin Dashboard aktivieren.

Hochladen im WordPress-Dashboard –

  • Im Plugin-Dashboard müssen Sie zu ‚Neu hinzufügen‘ navigieren.
  • Wechseln Sie in den Bereich ‚Hochladen‘.
  • Hier müssen Sie remove-xmlrpc-ping auswählen.zip von Ihrem Laptop / Computer.
  • Sie müssen auf ‚Jetzt installieren‘ klicken.
  • Nun müssen Sie das Plugin im Plugin Dashboard aktivieren.

FTP verwenden –

  • Im ersten Schritt müssen Sie remove-xmlrpc-pingback-ping herunterladen.Zip.
  • Sie müssen das Verzeichnis remove-xmlrpc-pingback-ping auf Ihren Laptop / Computer extrahieren.
  • Zu diesem Zeitpunkt müssen Sie das Verzeichnis remove-xmlrpc-pingback-ping in das Verzeichnis /wp-content/plugins/ hochladen.
  • Nun müssen Sie das Plugin im Plugin Dashboard aktivieren.

Loginizer

Dies ist eines der effektivsten WordPress-Plugins, mit dem Sie gegen einen Brutforce-Angriff vorgehen können. Das Plugin tut dies, indem es die Anmeldung für die IP blockiert, sobald es die höchste zulässige Pensionierung erreicht hat. Mit Hilfe dieses Plugins können Sie IPs für Anmeldezwecke einfach auf die schwarze Liste setzen oder auf die weiße Liste setzen. Sie haben die Möglichkeit, andere Funktionen wie – re, passwortlose Anmeldung, Zwei-Faktor-Authentifizierung usw. zu verwenden.

Befolgen Sie die unten genannten Schritte, um das Plugin zu installieren –

  • In erster Linie müssen Sie sich bei Ihrem WordPress-Admin-Panel anmelden.
  • Der zweite Schritt besteht darin, zur Registerkarte Plugins zu wechseln und anschließend zu Add New überzugehen.
  • Hier müssen Sie nach Loginizer suchen.
  • Klicken Sie auf die Schaltfläche Jetzt installieren.
  • Um das Plugin zu aktivieren, müssen Sie die Schaltfläche Aktivieren drücken.
  • Gehen Sie zu Ihrem Dashboard, gehen Sie zu Einstellungen und dann zu Loginizer.
  • Es liegt an Ihnen, ob Sie Einstellungen konfigurieren oder die Standardeinstellungen verwenden möchten.
  • Dies ist getan und Sie können loslegen.

Einfache Anmeldung

Alles, was Sie brauchen, ist eine zufällige dreistellige Zahl für WordPress Login. Sie können die richtige Zahl sehen, die über dem Feld durch einen JavaScript-Code angezeigt wird. Das Beste an dem Plugin ist, dass es mit dem WooCommerce-Anmeldeformular kompatibel ist.

Wie bei jedem anderen Plugin müssen Sie das Plugin nur installieren und aktivieren. Es fehlen Einstellungen.

  • Zunächst müssen Sie Ihre Plugins besuchen Neuen Bildschirm hinzufügen.
  • Sie können nach dem Plugin suchen, indem Sie Simple Login suchen .
  • Klicken Sie auf ‚Jetzt installieren‘, um das Plugin zu installieren.
  • Klicken Sie auf ‚Aktivieren‘, um das Plugin zu aktivieren.

Deaktivieren von XML-RPC über .htaccess –

Im Gespräch über Apache Web-Server-Software, .htaccess-Dateien ändern die Konfiguration der Dateien. Daher werden die Zugriffsanforderungen deaktiviert, bevor sie an WordPress weitergegeben werden.

Sie können xmlrpc in WordPress einfach deaktivieren, indem Sie die unten genannten Schritte ausführen –

  • Mit Hilfe von File Transfer Protocol Client – Filezilla, können Sie ganz einfach auf Ihre Website zugreifen.
  • Jetzt müssen Sie zugreifen.htaccess in Ihrem Stammordner.
  • Es kann vorkommen, dass die Standardeinstellungen die Datei verbergen. Wenn Sie auf eine solche Situation stoßen, gehen Sie zu den Einstellungen und klicken Sie auf die Schaltfläche ‚Versteckte Ordner anzeigen‘. Sie müssen sicherstellen, dass Sie die Änderungen gespeichert haben. Zu diesem Zeitpunkt sollten Sie in der Lage sein, Ihre Datei anzuzeigen.
  • Sobald Sie die Datei geöffnet haben, müssen Sie den unten genannten Code eingeben –
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>

Speichern Sie schließlich alle Änderungen, die Sie vorgenommen haben, und Sie können loslegen.

Wenn Sie noch Fragen oder Zweifel haben, wie Sie xmlrpc in WordPress deaktivieren können, können Sie sich an uns wenden und unser Expertenteam hilft Ihnen weiter.

Lesen Sie auch unseren LEITFADEN ZU Den häufigsten WordPress-Fehlern in 2020

beheben Sie WordPress xmlrpc-Probleme Hilfe

Andere WordPress-Probleme & Ihre Korrekturen:

  • So beheben Sie den weißen Bildschirm des Todes in WordPress
  • So beheben Sie Datei- und Ordnerberechtigungsfehler WordPress
  • So sichern Sie Ihre WordPress-Site im Jahr 2020
  • So entfernen Sie „Diese Site kann gehackt werden“ von WordPress
  • So löschen Sie versteckte Admin-Benutzer in WordPress
  • So beheben Sie „Der Link, dem Sie gefolgt sind, ist abgelaufen“ in WordPress
  • So beheben Sie Pluggable.PHP-Dateifehler in WordPress?
  • Wie zu beheben „Upload: Fehler beim Schreiben der Datei auf die Festplatte“ WordPress-Fehler
  • So beheben Sie „Sind Sie sicher, dass Sie dies tun möchten“ WordPress
  • So beheben Sie den Fehler 503 Service Unavailable in WordPres
  • So beheben Sie den Analysefehler: Syntaxfehler in WordPress?
  • So beheben Sie das Problem „Dieses Konto wurde gesperrt“
  • So entfernen Sie Malware von einer gehackten WordPress-Site
  • So beheben Sie WordPress Malware Redirect Hack?
  • So entfernen Sie das Favicon .ico Hack für WordPress

Dieser Beitrag wurde zuletzt am 7. September 2020 geändert