Kundenlogin

WordPress: Zugriff auf xmlrpc.php nun verboten

Bereits seit längerem beobachten wir eine stetig steigende Anzahl an Brute Force Angriffen gegen bei uns gehostete WordPress Installationen. Viele dieser Angriffe bedienen sich der XML-RPC Funktionen von WordPress – und damit der Datei xmlrpc.php.

Um den Angreifern ihr Tun zu erschweren, haben wir uns entschlossen den Zugriff auf die Datei xmlrpc.php serverseitig (testweise) zu unterbinden und haben dies verboten. Dies bedeutet aber auch, dass wir somit alle legitimen Anwendungsfälle dieser Datei ebenfalls unterbinden. z.B. die Administration von WordPress Instanzen über eine Handy-App, oder das JetPack Plugin.

Sollten Sie Zugriff auf die XML-RPC Schnittstelle von WordPress benötigen können Sie unsere Sperrung übersteuern, in dem Sie per .htaccess folgendes konfigurieren:

<FilesMatch "xmlrpc\.php$">
  Satisfy Any
  Allow from all
</FilesMatch>

Wir gehen davon aus, dass die Masse der bei uns gehosteten WordPress Installationen durch unsere Sperrung keine negativen Auswirkungen erfahren wird.

Im Zweifelsfall wenden Sie sich bitte an unseren Support.