WordPress-Sicherheit - Abschirmung der xmlrpc-Datei
WordPress ist das beliebteste Content Management System zur Erstellung einer Website. Und das aus gutem Grund, denn eine Website kann schnell erstellt werden und lässt sich komplett visuell bearbeiten. Für fast jede Einstellung und Konfiguration gibt es ein Menü, ein Thema oder ein Plug-in, aus dem Sie wählen können, um Ihr Ziel zu erreichen. Da es das beliebteste Content Management System ist, ist es jedoch auch in einigen Bereichen anfälliger als ein Content Management System wie Umbraco. Mit einigen Vorsichtsmaßnahmen kann eine WordPress-Website jedoch so sicher wie möglich gemacht werden. In diesem Blogbeitrag erfahren Sie, wie Sie eine WordPress-Schwachstelle vollständig beseitigen können. Blockieren des Zugriffs auf die Datei xmlrpc.php.
Was ist die Datei XMLRPC.php?
Die Datei XMLRPC.php ist eine Datei, die den Zugriff auf die WordPress-Verwaltungsumgebung über externe Quellen ermöglicht und kontrolliert. Dies war vor allem in der Vergangenheit der Fall und ist seit WordPress Version 3.5 standardmäßig aktiv. Heute wird sie jedoch kaum noch genutzt und muss nicht mehr aktiviert sein. Das liegt daran, dass böswillige Personen diese Datei missbrauchen können, um sich leichter Zugang zu Ihrer Website zu verschaffen. Es ist also mehr als ratsam, dafür zu sorgen, dass diese Datei nicht zu diesem Zweck verwendet werden kann.
Blockieren des Zugriffs behindert nur bei der Verwendung lokaler Apps
Die Sperrung des Zugriffs auf diese Datei hat nur dann einen Nachteil, wenn Sie den Zugriff auf Ihre WordPress-Website extern verwalten möchten. In diesem Fall ist das häufigste Szenario die lokale App von WordPress, die Sie auf Ihrem Telefon installieren können. Es ist jedoch einfacher, sich mit dem Internetbrowser auf dem Handy in Ihre Website einzuloggen, wenn Sie eine kleine Änderung vornehmen möchten. Und für viel mehr als das werden Sie Ihr Telefon bei der Arbeit an Ihrer Website auch nicht verwenden.
Das Ändern einer Öffnungszeit oder eines Datums auf Ihrer Website, das Löschen des Cache oder das Sperren dieses Kommentars ist über den Browser genauso einfach wie über die lokale WordPress-App zu erledigen. Wenn Sie mit der Arbeit an Ihrer WordPress-Website beginnen, ist es besser, zu Ihrem Laptop oder Desktop mit einer physischen Tastatur und Maus zu greifen.
Blockieren des Zugriffs mit der Datei web.config
Um den Zugriff auf die Datei xmlrpc.php zu blockieren, können Sie mehrere Methoden anwenden. Der beste und sauberste Weg ist jedoch, den Zugriff direkt über die Datei web.config zu blockieren. Diese Datei finden Sie standardmäßig im wwwroot der WordPress-Installation auf dem Hosting. Sie ist dafür am besten geeignet, weil die Anfrage dann direkt blockiert wird und nicht erst über Ihre Website geleitet wird. Dies ist schneller und sicherer als andere Lösungen.
Sie können die Datei web.config mit einem beliebigen Texteditor wie Notepad oder Notepad++ bearbeiten. Dies kann über eine FTP-Verbindung oder über den Dateimanager in der Systemsteuerung erfolgen. Erstellen Sie immer eine Sicherungskopie des Inhalts der Datei web.config, bevor Sie beginnen. Wenn Sie einen Fehler machen, können Sie ihn schnell beheben.
Sie können dann Änderungen in der Datei web.config vornehmen:
Sie können dieses Element, Security, innerhalb des Tags System Webserver hinzufügen. Und Sie müssen es korrekt hinzufügen, denn wenn Sie hier Fehler machen, wird Ihre Website mit einem 500-Fehler offline gehen. Fügen Sie das Element also nicht zwischen ein bestehendes Element, wie das Rewrite, ein. Fügen Sie es vorzugsweise direkt nach dem System-Webserver-Tag ein, wie im folgenden Beispiel:
Wenn Sie das nicht hinbekommen oder immer noch eine Fehlermeldung erhalten, stellen Sie Ihre web.config-Datei mit dem von Ihnen erstellten Backup wieder her. Und erstellen Sie dann ein Ticket mit Ihren Änderungen darin. Dann werden wir es für Sie überprüfen.
Um zu testen, ob es funktioniert, gehen Sie auf Ihre Website und setzen Sie den Dateinamen hinter die URL Ihrer Homepage. In unserem Beispiel:
Mijndemopartner.nl/xmlrpc.php
Dies führt dann sofort zu einer 404-Meldung, wenn alles richtig gelaufen ist.
Andere Möglichkeiten zur Entschärfung der Datei
Es gibt mehrere Möglichkeiten, die Datei unzugänglich zu machen. Die naheliegendste ist wohl das Löschen der Datei. Dies ist jedoch eher ein Notbehelf als eine Lösung, da die Datei bei jedem WordPress-Update wiederhergestellt wird. In diesem Fall ist es also ratsamer, die web.config-Methode zu verwenden, da sie nur einmal geändert werden muss. Solange Sie die web.config beibehalten.
Sie können auch ein Plug-in dafür installieren, aber das ist nur ein weiteres Plug-in, das nur eine Funktion hat. Und wird daher Ihre Plugin-Liste weiter verschmutzen. Daher empfehlen wir Ihnen, auch mit den verfügbaren Plug-ins, dies manuell zu tun.
Suchen Sie noch nach weiteren Tipps zum Schutz Ihrer WordPress-Website? Dann werfen Sie auch einen Blick auf unsere früheren Blogbeiträge und unsere Wissensdatenbank. Darin haben wir bereits viele Tipps und Tricks behandelt.