Ein kleiner Sicherheitstipp für WordPress Blogs.
Wer keinen Desktopclient benutzt, kann mit einem kleinen Befehl in der xmlrpc.php Datei gleich einige Sicherheitslücken auf einmal stopfen. Diese Datei ist sozusagen die API des WordPressblogs, über die externe Programme Beiträge und mehr bearbeiten können.
Hier ist die Anleitung um diese Möglichkeit ganz bequem auszuknipsen:
– Suche auf deinem Server das Verzeichnis deines WordPress Blogs
– öffne die xmlrpc.php Datei
– füge am Anfang der Datei gleich folgenden PHP-Befehl ein die();
– xmlrpc.php abspeichern und auf dem Server aktualisieren, das war’s!
Wenn sich nun jemand über ein externes Programm auf deinem Blog einklinken will, sieht er folgende Nachricht (hier als Beispiel mit der iOS WordPress App):
Anmelden leider nicht möglich – Blog lieferte ungültige Daten zurück.
Und wieder ein Stückchen sicherer unterwegs.
Nächsten Freitag folgt folgende Fortsetzung zum Sicherheitsthema: Limit login attempts und das Sperren von IP-Adressen per .htaccess.
Aktualisierung am 13.03.2012:
Marc hat darauf hingewiesen, dass es die integrierte Möglichkeit bei WordPress gibt die xmlrpc.php auszuschalten. Im WordPress Dashboard wie folgt vorgehen: zuerst zu Einstellungen -> Schreiben. Anschließend bei “Die WordPress, Movable Type, MetaWeblog und Blogger XML-RPC Schnittstelle aktivieren” das Häkchen entfernen.
Aktualisierung am 03.05.2013:
Gerald hat unten im Kommentarbereich darauf hingwiesen, dass es die integrierte Möglichkeit bei WordPress die xmlrpc.php auszuschalten bei den neueren WordPress Versionen nicht mehr – wie drüber angegeben – gibt.
(Alex)
Das ist ja alles schoen und gut, doch benoetige ich diesen Zugang halt immer noch. Bin aber auch schon auf der Suche nach alternativen.
Danke fuer den Hinweis.
Hey Alex,
danke für den Tipp, werde ich sofort machen. Allerdings muss ich vorher noch etwas hinterfragen.
Diese Externen Programme was wird darunter Verstanden?
Ich versuche es mal selbst zu erklären. Meinst du z. B. Das Anmelden mit einer App für das Smartphone?
Welche meinst du noch. Da ich mich in WordPress nur über den heimischen PC Anmelde kann ich das einstellen. Super!
Du erhälst nachher einen Trackback von mir da ich für einen Antivirus Artikel recherchiert habe um die WP Dateien ab zu scannen und diesen nachher veröffentlichen will. Aus der Sicht eines Laien, versteht sich.
Zusammen könnte man daraus eine super Sammlung von Tipps erstellen. Die es den bösen Buben wirklich schwer machen werden.
Grüße und ein angenehmes Wochenende.
Chris
Ist es nicht noch einfacher die Datei einfach zu löschen?
Oder wirft das Fehler aus? Kann es nicht selber testen, nutze den externen Zugriff sehr oft :)
[…] an Chris für den Hinweis. Der Alex hat hier eine sehr gute Idee gehabt und beschrieben, wie die xmlrpc.php als weitere Schwachstelle im System […]
Hi Carsten, Chris und Marc
– Carsten, wieso benötigst du denn diesen Zugang? Kannst doch auch so auf offenesblog.de lesen und kommentieren? Habe deshalb ja auch für die, die gerne von unterwegs aus lesen und kommentieren, ein Plugin installiert für das Darstellen auf iPhone & Co. Müsste doch auch so klappen? Denn wie man bei technothek gesehen hat, geht Sicherheit ja (fast) vor allem! Und danke dir für die Erwähnung in deinem Artikel zum Thema Sicherheit und Neustart auf technothek.
– Chris, was das externe Programm angeht, da liegst du richtig mit der App für Smartphones. Das Screenshot im Artikel zeigt ja eben genau dies. Und da du dich wie ich am heimischen PC bei WordPress anmeldest, kannst auch du die Sicherheitslücke getrost stopfen.
Wünsche dir jedenfalls wieder ein gutes Durchstarten mit deinem Blog, alles Gute!
– Marc, wie es ist, wenn man die Datei einfach löscht, weiß ich nicht. Und da es bei mir mit dem Befehl gut klappt, lasse ich es lieber so stehen und lösche es daher erstmal nicht! ;)
Euch allen einen guten Start in die Woche,
Alex
@Alex, ich benutze die Schnittstelle fuer verschiedene Dienste. Die WordPress App auf dem iPad und iPhone, ifttt.com, und Co. Allerdings habe nun auch das die() eingefuegt. Sicher ist sicher. Und ganz ehrlich: Ich vermisse es nicht. Kann ja auch am iPad mit KWriter oder iAWriter schreiben und den Text per EMail an den Blog schicken. Das funktioniert auch. Nach einen Review am Rechner wird deer Beitrag dann freigeschaltet.
@Marc, wenn die Aenderungen im System so tief greifen, und mehrer Dateien bearbeitet wurden, wird es schwer das alle herauszufinden. Außerdem setzen sich eine auch in der Datenbank fest, und werden immer dann aktiv, wenn der Beitrag aufgerufen wird. Und wenn du 10.000 und mehr Beitraege hast, wird das sehr muehsam die alle zu durchsuchen.
mfgcb
Hi Carsten
Es freut mich, dass auch du die xmlrpc.php ausgeknipst hast. Sicherheit geht eben vor,
auch wenn das andere sicherlich mehr Komfort für dich hatte.
Hauptsache du lässt dich nicht von der Bloggerwelt abschütteln! :D
Beste Grüße und angenehme Woche, Alex
Warum denn so umständlich? Unter Einstellungen > Schreiben kann man es doch einfach direkt abschalten?!
Hi Marc
Willkommen auf offenesblog.de und herzlichen Dank für dein Input, denn du liegst goldrichtig:
“Die WordPress, Movable Type, MetaWeblog und Blogger XML-RPC Schnittstelle aktivieren.”
Einfach Häkchen weg und gut ist.
Wieder etwas gelernt heute, wunderbar und Danke dir!
Angenehmen Abend und beste Grüße, Alex
Ebenfalls einen angenehmen Abend und danke für die nette Begrüßung auf dem Blog :-)
Erneutes Hallo Marc
Na eine solche Begrüßung gehört sich doch in einem “offenen Blog”. :)
Da ist jeder Willkommen und wenn man dann noch so gut zu einem Thema beisteuern kann ist das doch klasse.
Daher noch einmal Danke, werden den Artikel auch dementsprechend anpassen.
Angenehmen Dienstag und beste Grüße
Alex
Ich bin jetzt nicht so der WordPress-Experte, aber normalerweise werden doch auch Pingbacks über die xmlrpc entgegengenommen.
Habt Ihr mal ausprobiert, ob das dann noch funktioniert? Oder interessieren euch Pingbacks nicht? ;-)
Hi mysha
Noch bei diesem Artikel hier kam doch noch ein Pingback an. Hier drüber in den Kommentaren, nein?
Oder ist der 4. “Kommentar” ein Trackback? Wobei ich gestehen muss, dass sich mir der Unterschied zwischen Trackback und Pingback nicht erschließt! ;)
Danke für die Auflösung und zu deiner Frage – müsste ja dann aber wohl noch klappen, richtig?
Angenehmen Tag und beste Grüße, Alex
Danke für den Hinweis brauche allerdings die Schnittstelle um mit Lifewriter den Blog mit Daten zu füttern. Ist für mich einfacher als mit einem E-Mailprogramm oder mich immer ins Backend einzuwählen.
Gruß aus dem Norden
Hallo Andreas
Herzlich Willkommen auf offenesblog.de.
Was den Hinweis angeht, gern geschehen – auch wenn du nicht wirklich etwas damit anfangen kannst,
da du die Schnittstelle ja brauchst! ;)
Morgen kommt noch ein Sicherheitstipp online, vielleicht hilft der ja dann weiter!
Beste Grüße zurück in den Norden, Alex
Hey Alex,
danke für diesen Tipp! Nur kann ich mich gerade nicht in die Gefahr hineinversetzen. Habe die iOS App genutzt, aber bin jetzt auch nicht wirklich traurig darüber sie nicht zu nutzen. Ist es denn wirklich sinnvoll diese Schnittstelle zu deaktivieren?! Ich habe es vorsorglich getan.
Beste Grüße, Skatze
Hi Skatze
Wenn du die Schnittstelle eh nicht brauchst, kann man sie getrost deaktivieren. Denn Sicherheit kann ja nie schaden. Und da es ein Schlupfloch für jemand sein könnte, der einem böses will – weg damit.
Beste Grüße, Alex
Ja da hast du wohl recht! Danke für den Tipp!
Hallo. Mal eine Frage zu dieser xmlrpc.php.
Welche Funktionen von WordPress basieren denn noch auf den Zugriff dieser Datei? Ich frage, da ich das posten mittels Iphone gerne hinter einer htaccess absichern würde. Also mein Plan ist es die xmlrpc.php mittels htaccess zu schützen, so dass man ein Passwort eingeben muss.
Würde es heirbei zu Problemen mit anderen wichtigen Diensten wie beispielsweise Trackback, Pingback etc. kommen? Danke für Tipps.
Hi Garfield
Da ich nicht selbst wirklich bei deinen Fragen helfen kann, vielleicht hilft dir der WordPress Codex weiter?
Hier der direkte Link:
http://codex.wordpress.org/XML-RPC_Support
Drücke die Daumen und wenn du dennoch nicht fündig wirst, melde dich nochmal.
Alles Gute und angenehmen Abend, Alex
Was soll der dämliche Link dort oben? Soll das ein Trackback sein? Auf eine tote Seite? Bitte entfernen!!!
Im neuen WordPress kann man kein Häkchen entfernen weil da ganz einfach keines mehr da ist.
Vielleicht findet ihr ja die Seite interessant
http://exploitsdownload.com/search?q=exploit+wordpress+3.5.1
Hallo Gerald
Der Link hier über deinem Kommentar? Das wurde am 2. Februar diesen Jahres als Trackback zu offenesblog.de geschickt. Keine Ahnung ob das eine tote Seite ist? Ist das ein Verweis auf deine Seite? Habe ich somit auf Wunsch wieder entfernt.
Danke auch für den Hinweis zum nicht mehr vorhandenen Häkchen. So muss ich dann wohl mal die Aktualisierung vom 13.3.2012 überarbeiten.
Danke, beste Grüße und ein angenehmes Wochenende!