Willkommen im offenen Blog! Hier bestimmt der Leser mit - ob bei Umfragen zum Blogdesign oder über den Inhalt als Gastautor. offenesblog.de - offen für alle(s)

9th
MRZ

WordPress: Sicherheitslücken über xmlrpc.php abdichten

Abgelegt unter Blog/Aktionen

Ein kleiner Sicherheitstipp für WordPress Blogs.

Wer keinen Desktopclient benutzt, kann mit einem kleinen Befehl in der xmlrpc.php Datei gleich einige Sicherheitslücken auf einmal stopfen. Diese Datei ist sozusagen die API des WordPressblogs, über die externe Programme Beiträge und mehr bearbeiten können.

Hier ist die Anleitung um diese Möglichkeit ganz bequem auszuknipsen:
– Suche auf deinem Server das Verzeichnis deines WordPress Blogs
– öffne die xmlrpc.php Datei
– füge am Anfang der Datei gleich folgenden PHP-Befehl ein die();
– xmlrpc.php abspeichern und auf dem Server aktualisieren, das war’s!

Wenn sich nun jemand über ein externes Programm auf deinem Blog einklinken will, sieht er folgende Nachricht (hier als Beispiel mit der iOS WordPress App):

xmprpc.php
Anmelden leider nicht möglich – Blog lieferte ungültige Daten zurück.

Und wieder ein Stückchen sicherer unterwegs.

Nächsten Freitag folgt folgende Fortsetzung zum Sicherheitsthema: Limit login attempts und das Sperren von IP-Adressen per .htaccess.

Aktualisierung am 13.03.2012:
Marc hat darauf hingewiesen, dass es die integrierte Möglichkeit bei WordPress gibt die xmlrpc.php auszuschalten. Im WordPress Dashboard wie folgt vorgehen: zuerst zu Einstellungen -> Schreiben. Anschließend bei „Die WordPress, Movable Type, MetaWeblog und Blogger XML-RPC Schnittstelle aktivieren“ das Häkchen entfernen.

Aktualisierung am 03.05.2013:
Gerald hat unten im Kommentarbereich darauf hingwiesen, dass es die integrierte Möglichkeit bei WordPress die xmlrpc.php auszuschalten bei den neueren WordPress Versionen nicht mehr – wie drüber angegeben – gibt.

(Alex)

Leser Kommentare

  1. Gerald |

    Was soll der dämliche Link dort oben? Soll das ein Trackback sein? Auf eine tote Seite? Bitte entfernen!!!
    Im neuen WordPress kann man kein Häkchen entfernen weil da ganz einfach keines mehr da ist.
    Vielleicht findet ihr ja die Seite interessant
    http://exploitsdownload.com/search?q=exploit+wordpress+3.5.1

  2. Alex |

    Hallo Gerald

    Der Link hier über deinem Kommentar? Das wurde am 2. Februar diesen Jahres als Trackback zu offenesblog.de geschickt. Keine Ahnung ob das eine tote Seite ist? Ist das ein Verweis auf deine Seite? Habe ich somit auf Wunsch wieder entfernt.

    Danke auch für den Hinweis zum nicht mehr vorhandenen Häkchen. So muss ich dann wohl mal die Aktualisierung vom 13.3.2012 überarbeiten.

    Danke, beste Grüße und ein angenehmes Wochenende!

Hinterlasse einen Kommentar