Tags voor dit FAQ item:
beveiliging Firewall Wordpress

Help ons door dit artikel te beoordelen!

Score van 5 sterren, gebaseerd op 3 beoordelingen

Waarom XML-RPC uitschakelen in Wordpress?

Laatste bijgewerkt: 07/06/2018

Dit artikel legt uit hoe u Wordpress kan optimaliseren om eventuele aanvallen op de xml-rpc.php bestanden tegen te gaan.

Helaas is de XML-RPC (XML Remote Procedure Call) functionaliteit in Wordpress een achterdeur geworden voor tal van attacks op een Wordpress hosting.
Hoewel Wordpress een zeer gebruiksvriendelijk en toegankelijk Content Management Systeem is, raden we toch aan om mits enkele kleine ingrepen uw Wordpress website hosting nog beter te beveiligen. Het is niet altijd noodzakelijk hier een batterij plugins voor te installeren. Enkele eenvoudige ingrepen kunnen reeds zorgen dat uw Wordpress website beveiligd is tegen de meest gekende exploits.

Wist u trouwens dat het Kinamo webhosting platform standaard voorzien is van web application firewalling (WAF), welke dergelijke requests reeds tegengaan?

Wij raden u trouwens steeds aan om uw Wordpress installatie up to date te houden!
Weet u niet hoe dit moet, vraag dan onze hulp. Ons team staat voor u klaar!

Een website updaten via één enkel commando dat vanop afstand wordt uitgevoerd. Klinkt geweldig... helaas klinkt het ook als een gigantische rode vlag met daarop in witte letters "hacking backdoor", en dat is precies wat er met de XML-RPC functionaliteit in Wordpress aan de hand is.

Het initïele idee van de functie was goed, maar al gauw werd xml-rpc.php misbruikt door malafide personen die ongewenst toegang wensten te verkrijgen tot een Wordpress platform.
Tot voor versie 3.5 was er niks aan de hand, deze functionaliteit stond standaard niet ingeschakeld. Tegenwoordig staat deze functie actief.
Het is dan ook zonder twijfel een van de meest aangeroepen functies op een Wordpress hosting platform en we mogen gerust stellen dat amper 1% daadwerkelijk "correcte" aanvragen zijn, de overige 99% komen van scripts, bots, ... die allen proberen een Wordpress via een XML-RPC DDoS attack op de knieën te krijgen.

Hopelijk bent u overtuigd van "niet meteen noodzakelijk zijn" van deze functie.
Mocht u echter 100% zeker zijn waarvoor XML-RPC dient en u er daadwerkelijk ook gebruik van maken negeer dan gerust de rest van dit artikel.
Behoort u echter tot de doelgroep "believers" die er niet meteen het nu tvan inzien, dan kan u volgende mogelijkheden aanroepen om XML-RPC uit te schakelen.

Vooreerst halen we best een mythe uit de ether: het bestand "gewoon verwijderen" biedt weinig soelaas, enerzijds zal bij een volgende update gegarandeerd het oorspronkelijke bestand terug geplaatst worden (of slechter, de Wordpress update faalt omdat er een bestand ontbreekt), anderzijds genereert u een 404 fout (Pagina niet gevonden) en wordt de aanvraag naar XML-RPC gewoon omgezet in een waterval van 404 fouten, dus alles behalve een oplossing en minstens evenveel server belasting!

DIt is een eenvoudigste manier. De Disable XML-RPC plugin laat u toe om eenvoudigweg de functie uit te schakelen. Toegegeven, minder aantrekkelijk voor de consolefreaks, maar it does the job!

De Pingback functionaliteit (die dus wel XML-RPC gebruikt) kan u overigens best uitschakelen. Deze uitschakelen alleen lost het probleem niet op, maar als u bovenstaande plugin heeft gebruikt schakelt u ook best de Pingbacks uit.
U kan dit vinden onder het dashboard in Wordpress, Settings (Instellingen) "Allow link notifications from other blogs (pingbacks and trackbacks) on new articles".

De beste manier is nog steeds om op webserver niveau de requests uit te schakelen.
Dit kan op Apache webservers via een .htaccess bestand met volgende code:

## block XML-RPC requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Voor NGinx server kan u volgende aan uw configuratie toevoegen:

## block XML-RPC requests
location = /xmlrpc.php {
deny all;
}

De voorkeur gaat uiteraard naar de laatste stap, daar deze reeds op serverniveau de request afschermt en er zelfs geen code processing plaats vindt.

Onthoud ook dat het Kinamo Webhosting platform standaard uitgerust is met web application firewalling (WAF) die deze requests reeds afblocked.

Met andere woorden uw website op het Kinamo hosting platform wordt reeds voor een groot deel gevrijwaard van dergelijke malafide requests!