Die XML-RPC Schnittstelle von WordPress kann durch Schwachstellen im verwendeten Protokoll mit relativ einfachen Mitteln durch gezielte Angriffe überlastet werden. Diese lässt sich jedoch ganz einfach abschalten.
Wer die XML-RPC Schnittstelle von WordPress überhaupt nicht nutzt (z.B. um sein Blog mit Hilfe einer externen Editor-Software zu bestücken) und sichergehen möchte, dass diese nicht durch gezielte Attacken zum Lahmlegen des eigenen Blogs genutzt wird, schaltet diese ganz einfach ab. Dazu ist nur eine weitere Zeile in der wp-config.php nötig:
Diese wird am Ende als letzte Zeile direkt vor dem schließenden PHP-Tag eingefügt:
add_filter('xmlrpc_enabled', '__return_false');
Die etwas rohere Variante wäre die Umbenennung der xmlrpc.php im Hauptverzeichnis der Blog-Installation. Dadurch wäre dann aber auch der Empfang von Trackbacks und Pingbacks deaktiviert, der durch den obigen Filter nicht deaktiviert wird.
Wie üblich in der WordPress-Welt, gibt es für denselben Zweck auch eine Plugin, das diese Aufgabe übernimmt: Disable XML-RPC.
Weiterführende Infos bei c’t »
