WordPress: Sicherheitslücken über xmlrpc.php abdichten

Ein kleiner Sicherheitstipp für WordPress Blogs.

Wer keinen Desktopclient benutzt, kann mit einem kleinen Befehl in der xmlrpc.php Datei gleich einige Sicherheitslücken auf einmal stopfen. Diese Datei ist sozusagen die API des WordPressblogs, über die externe Programme Beiträge und mehr bearbeiten können.

Hier ist die Anleitung um diese Möglichkeit ganz bequem auszuknipsen:
– Suche auf deinem Server das Verzeichnis deines WordPress Blogs
– öffne die xmlrpc.php Datei
– füge am Anfang der Datei gleich folgenden PHP-Befehl ein die();
– xmlrpc.php abspeichern und auf dem Server aktualisieren, das war’s!

Wenn sich nun jemand über ein externes Programm auf deinem Blog einklinken will, sieht er folgende Nachricht (hier als Beispiel mit der iOS WordPress App):

xmprpc.php
Anmelden leider nicht möglich – Blog lieferte ungültige Daten zurück.

Und wieder ein Stückchen sicherer unterwegs.

Nächsten Freitag folgt folgende Fortsetzung zum Sicherheitsthema: Limit login attempts und das Sperren von IP-Adressen per .htaccess.

Aktualisierung am 13.03.2012:
Marc hat darauf hingewiesen, dass es die integrierte Möglichkeit bei WordPress gibt die xmlrpc.php auszuschalten. Im WordPress Dashboard wie folgt vorgehen: zuerst zu Einstellungen -> Schreiben. Anschließend bei “Die WordPress, Movable Type, MetaWeblog und Blogger XML-RPC Schnittstelle aktivieren” das Häkchen entfernen.

Aktualisierung am 03.05.2013:
Gerald hat unten im Kommentarbereich darauf hingwiesen, dass es die integrierte Möglichkeit bei WordPress die xmlrpc.php auszuschalten bei den neueren WordPress Versionen nicht mehr – wie drüber angegeben – gibt.

(Alex)

22 Comments

  1. Carsten said:

    Das ist ja alles schoen und gut, doch benoetige ich diesen Zugang halt immer noch. Bin aber auch schon auf der Suche nach alternativen.

    Danke fuer den Hinweis.

    9. März 2012
  2. Chris said:

    Hey Alex,

    danke für den Tipp, werde ich sofort machen. Allerdings muss ich vorher noch etwas hinterfragen.

    Diese Externen Programme was wird darunter Verstanden?

    Ich versuche es mal selbst zu erklären. Meinst du z. B. Das Anmelden mit einer App für das Smartphone?

    Welche meinst du noch. Da ich mich in WordPress nur über den heimischen PC Anmelde kann ich das einstellen. Super!

    Du erhälst nachher einen Trackback von mir da ich für einen Antivirus Artikel recherchiert habe um die WP Dateien ab zu scannen und diesen nachher veröffentlichen will. Aus der Sicht eines Laien, versteht sich.

    Zusammen könnte man daraus eine super Sammlung von Tipps erstellen. Die es den bösen Buben wirklich schwer machen werden.

    Grüße und ein angenehmes Wochenende.
    Chris

    10. März 2012
  3. Marc said:

    Ist es nicht noch einfacher die Datei einfach zu löschen?
    Oder wirft das Fehler aus? Kann es nicht selber testen, nutze den externen Zugriff sehr oft :)

    11. März 2012
  4. Virenbefall einer Wordpress Installation und wie man ihn wieder los wird – technothek.com » cbrueggenolte.de said:

    […] an Chris für den Hinweis. Der Alex hat hier eine sehr gute Idee gehabt und beschrieben, wie die xmlrpc.php als weitere Schwachstelle im System […]

    11. März 2012
  5. Alex said:

    Hi Carsten, Chris und Marc

    – Carsten, wieso benötigst du denn diesen Zugang? Kannst doch auch so auf offenesblog.de lesen und kommentieren? Habe deshalb ja auch für die, die gerne von unterwegs aus lesen und kommentieren, ein Plugin installiert für das Darstellen auf iPhone & Co. Müsste doch auch so klappen? Denn wie man bei technothek gesehen hat, geht Sicherheit ja (fast) vor allem! Und danke dir für die Erwähnung in deinem Artikel zum Thema Sicherheit und Neustart auf technothek.

    – Chris, was das externe Programm angeht, da liegst du richtig mit der App für Smartphones. Das Screenshot im Artikel zeigt ja eben genau dies. Und da du dich wie ich am heimischen PC bei WordPress anmeldest, kannst auch du die Sicherheitslücke getrost stopfen.
    Wünsche dir jedenfalls wieder ein gutes Durchstarten mit deinem Blog, alles Gute!

    – Marc, wie es ist, wenn man die Datei einfach löscht, weiß ich nicht. Und da es bei mir mit dem Befehl gut klappt, lasse ich es lieber so stehen und lösche es daher erstmal nicht! ;)

    Euch allen einen guten Start in die Woche,

    Alex

    12. März 2012
  6. Carsten said:

    @Alex, ich benutze die Schnittstelle fuer verschiedene Dienste. Die WordPress App auf dem iPad und iPhone, ifttt.com, und Co. Allerdings habe nun auch das die() eingefuegt. Sicher ist sicher. Und ganz ehrlich: Ich vermisse es nicht. Kann ja auch am iPad mit KWriter oder iAWriter schreiben und den Text per EMail an den Blog schicken. Das funktioniert auch. Nach einen Review am Rechner wird deer Beitrag dann freigeschaltet.

    @Marc, wenn die Aenderungen im System so tief greifen, und mehrer Dateien bearbeitet wurden, wird es schwer das alle herauszufinden. Außerdem setzen sich eine auch in der Datenbank fest, und werden immer dann aktiv, wenn der Beitrag aufgerufen wird. Und wenn du 10.000 und mehr Beitraege hast, wird das sehr muehsam die alle zu durchsuchen.

    mfgcb

    12. März 2012
  7. Alex said:

    Hi Carsten

    Es freut mich, dass auch du die xmlrpc.php ausgeknipst hast. Sicherheit geht eben vor,
    auch wenn das andere sicherlich mehr Komfort für dich hatte.
    Hauptsache du lässt dich nicht von der Bloggerwelt abschütteln! :D

    Beste Grüße und angenehme Woche, Alex

    12. März 2012
  8. Marc said:

    Warum denn so umständlich? Unter Einstellungen > Schreiben kann man es doch einfach direkt abschalten?!

    12. März 2012
  9. Alex said:

    Hi Marc

    Willkommen auf offenesblog.de und herzlichen Dank für dein Input, denn du liegst goldrichtig:
    Die WordPress, Movable Type, MetaWeblog und Blogger XML-RPC Schnittstelle aktivieren.
    Einfach Häkchen weg und gut ist.
    Wieder etwas gelernt heute, wunderbar und Danke dir!

    Angenehmen Abend und beste Grüße, Alex

    12. März 2012
  10. Marc said:

    Ebenfalls einen angenehmen Abend und danke für die nette Begrüßung auf dem Blog :-)

    12. März 2012
  11. Alex said:

    Erneutes Hallo Marc

    Na eine solche Begrüßung gehört sich doch in einem “offenen Blog”. :)
    Da ist jeder Willkommen und wenn man dann noch so gut zu einem Thema beisteuern kann ist das doch klasse.
    Daher noch einmal Danke, werden den Artikel auch dementsprechend anpassen.
    Angenehmen Dienstag und beste Grüße

    Alex

    13. März 2012
  12. mysha said:

    Ich bin jetzt nicht so der WordPress-Experte, aber normalerweise werden doch auch Pingbacks über die xmlrpc entgegengenommen.
    Habt Ihr mal ausprobiert, ob das dann noch funktioniert? Oder interessieren euch Pingbacks nicht? ;-)

    13. März 2012
  13. Alex said:

    Hi mysha

    Noch bei diesem Artikel hier kam doch noch ein Pingback an. Hier drüber in den Kommentaren, nein?
    Oder ist der 4. “Kommentar” ein Trackback? Wobei ich gestehen muss, dass sich mir der Unterschied zwischen Trackback und Pingback nicht erschließt! ;)
    Danke für die Auflösung und zu deiner Frage – müsste ja dann aber wohl noch klappen, richtig?

    Angenehmen Tag und beste Grüße, Alex

    13. März 2012
  14. Andreas said:

    Danke für den Hinweis brauche allerdings die Schnittstelle um mit Lifewriter den Blog mit Daten zu füttern. Ist für mich einfacher als mit einem E-Mailprogramm oder mich immer ins Backend einzuwählen.

    Gruß aus dem Norden

    15. März 2012
  15. Alex said:

    Hallo Andreas

    Herzlich Willkommen auf offenesblog.de.
    Was den Hinweis angeht, gern geschehen – auch wenn du nicht wirklich etwas damit anfangen kannst,
    da du die Schnittstelle ja brauchst! ;)
    Morgen kommt noch ein Sicherheitstipp online, vielleicht hilft der ja dann weiter!

    Beste Grüße zurück in den Norden, Alex

    15. März 2012
  16. Skatze said:

    Hey Alex,

    danke für diesen Tipp! Nur kann ich mich gerade nicht in die Gefahr hineinversetzen. Habe die iOS App genutzt, aber bin jetzt auch nicht wirklich traurig darüber sie nicht zu nutzen. Ist es denn wirklich sinnvoll diese Schnittstelle zu deaktivieren?! Ich habe es vorsorglich getan.

    Beste Grüße, Skatze

    15. März 2012
  17. Alex said:

    Hi Skatze

    Wenn du die Schnittstelle eh nicht brauchst, kann man sie getrost deaktivieren. Denn Sicherheit kann ja nie schaden. Und da es ein Schlupfloch für jemand sein könnte, der einem böses will – weg damit.

    Beste Grüße, Alex

    15. März 2012
  18. Skatze said:

    Ja da hast du wohl recht! Danke für den Tipp!

    16. März 2012
  19. garfield853 said:

    Hallo. Mal eine Frage zu dieser xmlrpc.php.
    Welche Funktionen von WordPress basieren denn noch auf den Zugriff dieser Datei? Ich frage, da ich das posten mittels Iphone gerne hinter einer htaccess absichern würde. Also mein Plan ist es die xmlrpc.php mittels htaccess zu schützen, so dass man ein Passwort eingeben muss.
    Würde es heirbei zu Problemen mit anderen wichtigen Diensten wie beispielsweise Trackback, Pingback etc. kommen? Danke für Tipps.

    13. August 2012
  20. Alex said:

    Hi Garfield

    Da ich nicht selbst wirklich bei deinen Fragen helfen kann, vielleicht hilft dir der WordPress Codex weiter?
    Hier der direkte Link:
    http://codex.wordpress.org/XML-RPC_Support
    Drücke die Daumen und wenn du dennoch nicht fündig wirst, melde dich nochmal.

    Alles Gute und angenehmen Abend, Alex

    15. August 2012
  21. Gerald said:

    Was soll der dämliche Link dort oben? Soll das ein Trackback sein? Auf eine tote Seite? Bitte entfernen!!!
    Im neuen WordPress kann man kein Häkchen entfernen weil da ganz einfach keines mehr da ist.
    Vielleicht findet ihr ja die Seite interessant
    http://exploitsdownload.com/search?q=exploit+wordpress+3.5.1

    3. Mai 2013
  22. Alex said:

    Hallo Gerald

    Der Link hier über deinem Kommentar? Das wurde am 2. Februar diesen Jahres als Trackback zu offenesblog.de geschickt. Keine Ahnung ob das eine tote Seite ist? Ist das ein Verweis auf deine Seite? Habe ich somit auf Wunsch wieder entfernt.

    Danke auch für den Hinweis zum nicht mehr vorhandenen Häkchen. So muss ich dann wohl mal die Aktualisierung vom 13.3.2012 überarbeiten.

    Danke, beste Grüße und ein angenehmes Wochenende!

    3. Mai 2013

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert