Knowledge base

Waarom XML-RPC uitschakelen in Wordpress?

Laatst bijgewerkt op 6 sep 2023 13:13:54.
Categorie: Alles over webhosting | Webhosting instellingen

sécurisation Firewall Wordpress

Dit artikel legt uit hoe u Wordpress kan optimaliseren om eventuele aanvallen op de xml-rpc.php bestanden tegen te gaan.

Helaas is de XML-RPC (XML Remote Procedure Call) functionaliteit in Wordpress een achterdeur geworden voor tal van attacks op een Wordpress hosting.
Hoewel Wordpress een zeer gebruiksvriendelijk en toegankelijk Content Management Systeem is, raden we toch aan om mits enkele kleine ingrepen uw Wordpress website hosting nog beter te beveiligen. Het is niet altijd noodzakelijk hier een batterij plugins voor te installeren. Enkele eenvoudige ingrepen kunnen reeds zorgen dat uw Wordpress website beveiligd is tegen de meest gekende exploits.

Wist u trouwens dat het Kinamo webhosting platform standaard voorzien is van web application firewalling (WAF), welke dergelijke requests reeds tegengaan?

Wij raden u trouwens steeds aan om uw Wordpress installatie up to date te houden!
Weet u niet hoe dit moet, vraag dan onze hulp. Ons team staat voor u klaar!

Wat is Wordpress XML-RPC?

Een website updaten via één enkel commando dat vanop afstand wordt uitgevoerd. Klinkt geweldig... helaas klinkt het ook als een gigantische rode vlag met daarop in witte letters "hacking backdoor", en dat is precies wat er met de XML-RPC functionaliteit in Wordpress aan de hand is.

Het initïele idee van de functie was goed, maar al gauw werd xml-rpc.php misbruikt door malafide personen die ongewenst toegang wensten te verkrijgen tot een Wordpress platform.
Tot voor versie 3.5 was er niks aan de hand, deze functionaliteit stond standaard niet ingeschakeld. Tegenwoordig staat deze functie actief.
Het is dan ook zonder twijfel een van de meest aangeroepen functies op een Wordpress hosting platform en we mogen gerust stellen dat amper 1% daadwerkelijk "correcte" aanvragen zijn, de overige 99% komen van scripts, bots, ... die allen proberen een Wordpress via een XML-RPC DDoS attack op de knieën te krijgen.

Hoe kan u XML-RPC uitschakelen in Wordpress?

Hopelijk bent u overtuigd van "niet meteen noodzakelijk zijn" van deze functie.
Mocht u echter 100% zeker zijn waarvoor XML-RPC dient en u er daadwerkelijk ook gebruik van maken negeer dan gerust de rest van dit artikel.
Behoort u echter tot de doelgroep "believers" die er niet meteen het nu tvan inzien, dan kan u volgende mogelijkheden aanroepen om XML-RPC uit te schakelen.

Vooreerst halen we best een mythe uit de ether: het bestand "gewoon verwijderen" biedt weinig soelaas, enerzijds zal bij een volgende update gegarandeerd het oorspronkelijke bestand terug geplaatst worden (of slechter, de Wordpress update faalt omdat er een bestand ontbreekt), anderzijds genereert u een 404 fout (Pagina niet gevonden) en wordt de aanvraag naar XML-RPC gewoon omgezet in een waterval van 404 fouten, dus alles behalve een oplossing en minstens evenveel server belasting!

Gebruik maken van de Disable XML-RPC plugin

DIt is een eenvoudigste manier. De Disable XML-RPC plugin laat u toe om eenvoudigweg de functie uit te schakelen. Toegegeven, minder aantrekkelijk voor de consolefreaks, maar it does the job!

Uitschakelen van PingBacks/Tracebacks

De Pingback functionaliteit (die dus wel XML-RPC gebruikt) kan u overigens best uitschakelen. Deze uitschakelen alleen lost het probleem niet op, maar als u bovenstaande plugin heeft gebruikt schakelt u ook best de Pingbacks uit.
U kan dit vinden onder het dashboard in Wordpress, Settings (Instellingen) "Allow link notifications from other blogs (pingbacks and trackbacks) on new articles".

Wordpress XML-RPC uitschakelen op webserver niveau

De beste manier is nog steeds om op webserver niveau de requests uit te schakelen.
Dit kan op Apache webservers via een .htaccess bestand met volgende code:

## block XML-RPC requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Voor NGinx server kan u volgende aan uw configuratie toevoegen:

## block XML-RPC requests
location = /xmlrpc.php {
 deny all;
 }

De voorkeur gaat uiteraard naar de laatste stap, daar deze reeds op serverniveau de request afschermt en er zelfs geen code processing plaats vindt.

Onthoud ook dat het Kinamo Webhosting platform standaard uitgerust is met web application firewalling (WAF) die deze requests reeds afblocked.

Met andere woorden uw website op het Kinamo hosting platform wordt reeds voor een groot deel gevrijwaard van dergelijke malafide requests!


Gerelateerde artikels

Hoe de taal van Kinamo webmail aanpassen

Dit FAQ-artikel legt uit hoe je de taal van de gebruikersinterface kunt aanpassen in Kinamo Webmail

Lees meer

Kan ik mijn e-mail online raadplegen (via webmail)?

Als u een e-mail heeft bij Kinamo kan u uw mailbox online raadplegen door te surfen naar webmail.kinamo.be. Het enige...

Lees meer

Instellen van een automatische SPAM filter via Kinamo Webmail

Heeft u een email bij Kinamo? Ontdek hier hoe u via de Kinamo Webmail een speciale filter kan aanmaken SPAM...

Lees meer

Extra hulp nodig?

Werden niet al uw vragen beantwoord?
Geen nood, via een support aanvraag helpen wij u graag verder!

Kinamo

Selecteer uw taal

Alle talen: