{"id":36123,"date":"2020-07-20T05:45:22","date_gmt":"2020-07-20T12:45:22","guid":{"rendered":"https:\/\/kinsta.com\/?p=65020"},"modified":"2023-07-27T14:14:32","modified_gmt":"2023-07-27T13:14:32","slug":"xmlrpc-php","status":"publish","type":"post","link":"https:\/\/kinsta.com\/de\/blog\/xmlrpc-php\/","title":{"rendered":"Eine komplette Anleitung \u00fcber xmlrpc.php in WordPress (Was es ist, Sicherheitsrisiken, Wie man es deaktiviert)"},"content":{"rendered":"

Die XML-RPC WordPress-Spezifikation wurde entwickelt, um die Kommunikation zwischen verschiedenen Systemen zu standardisieren, was bedeutet, dass Anwendungen au\u00dferhalb von WordPress (wie z.B. andere Blogging-Plattformen<\/a> und Desktop-Clients) mit WordPress interagieren k\u00f6nnen.<\/p>\n

Diese Spezifikation war von Anfang an ein Teil von WordPress<\/a> und hat einen sehr n\u00fctzlichen Job gemacht. Ohne sie w\u00e4re WordPress in seinem eigenen Silo, getrennt vom Rest des Internets, gewesen.<\/p>\n

Allerdings hat xmlrpc.php auch seine Schattenseiten. Es kann Schwachstellen<\/a> in deine WordPress Webseite einf\u00fchren und wurde nun durch die WordPress REST API<\/a> ersetzt, die eine viel bessere Arbeit leistet, WordPress f\u00fcr andere Anwendungen zu \u00f6ffnen.<\/p>\n

In diesem Beitrag erkl\u00e4ren wir, was xmlrpc.php ist, warum du es deaktivieren solltest und helfen dir zu erkennen, ob es auf deiner WordPress Webseite l\u00e4uft.<\/p>\n

Bereit? Lass uns loslegen!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Was ist xmlrpc.php?<\/h2>\n

XML-RPC ist eine Spezifikation, die die Kommunikation zwischen WordPress und anderen Systemen erm\u00f6glicht. Dies wurde erreicht, indem diese Kommunikation standardisiert wurde, indem HTTP als Transportmechanismus und XML als Kodierungsmechanismus verwendet wurde.<\/p>\n

XML-RPC ist \u00e4lter als WordPress: es war bereits in der b2-Blogging-Software enthalten, die 2003 zur Erstellung von WordPress verwendet wurde. Der Code hinter diesem System ist in einer Datei namens xmlrpc.php<\/strong> im Hauptverzeichnis der Webseite gespeichert. Und sie ist immer noch da, auch wenn XML-RPC weitgehend veraltet ist.<\/p>\n

In den fr\u00fchen Versionen von WordPress war XML-RPC standardm\u00e4\u00dfig deaktiviert. Aber seit Version 3.5 ist es standardm\u00e4\u00dfig aktiviert. Der Hauptgrund daf\u00fcr war, dass die WordPress Mobile App mit deiner WordPress-Installation<\/a> kommunizieren kann.<\/p>\n

Wenn du die WordPress Mobile App vor Version 3.5 benutzt hast, erinnerst du dich vielleicht daran, dass du XML-RPC auf deiner Webseite aktivieren musstest, damit die App Inhalte posten kann. Das lag daran, dass die App nicht WordPress selbst ausgef\u00fchrt hat, sondern eine separate App war, die \u00fcber xmlrpc.php mit deiner WordPress Webseite kommunizierte.<\/p>\n

Aber es war nicht nur die mobile Anwendung, f\u00fcr die XML-RPC verwendet wurde: es wurde auch verwendet, um die Kommunikation zwischen WordPress und anderen Blogging-Plattformen zu erm\u00f6glichen, es erm\u00f6glichte Trackbacks<\/a> und Pingbacks<\/a>, und es unterst\u00fctzte das Jetpack-Plugin<\/a>, das eine selbst gehostete WordPress Webseite mit WordPress.com<\/a> verbindet.<\/p>\n

Aber seit die REST API in den WordPress Core integriert wurde, wird die xmlrpc.php Datei nicht mehr f\u00fcr diese Kommunikation verwendet. Stattdessen wird die REST-API f\u00fcr die Kommunikation mit der WordPress Mobile-App, mit Desktop-Clients, mit anderen Blogging-Plattformen, mit WordPress.com<\/a> (f\u00fcr das Jetpack-Plugin) und mit anderen Systemen und Diensten verwendet. Die Bandbreite der Systeme, mit denen die REST-API interagieren kann, ist viel gr\u00f6\u00dfer<\/a> als die von xmlrpc.php erlaubte. Au\u00dferdem gibt es viel mehr Flexibilit\u00e4t.<\/p>\n

Da die REST API XML-RPC abgel\u00f6st hat, solltest du xmlrpc.php auf deiner Webseite jetzt deaktivieren. Schauen wir mal warum.<\/p>\n

Warum du xmlrpc.php deaktivieren solltest<\/h2>\n

Der Hauptgrund, warum du xmlrpc.php auf deiner WordPress Webseite deaktivieren solltest, ist, dass es Sicherheitsl\u00fccken<\/a> einf\u00fchrt und das Ziel von Angriffen sein kann.<\/p>\n

Jetzt, da XML-RPC nicht mehr ben\u00f6tigt wird, um au\u00dferhalb von WordPress zu kommunizieren, gibt es keinen Grund mehr, es aktiv zu lassen. Deshalb ist es ratsam, deine Webseite sicherer zu machen<\/a>, indem du sie deaktivierst.<\/p>\n

\u201cWenn xmlrpc.php eine Sicherheitsl\u00fccke ist und nicht mehr funktioniert, warum wurde es dann nicht ganz aus WordPress entfernt?\u201d<\/p><\/blockquote>\n

Der Grund daf\u00fcr ist, dass eines der Hauptmerkmale von WordPress immer die Abw\u00e4rtskompatibilit\u00e4t sein wird. Wenn du deine Webseite gut verwaltest<\/a>, wirst du wissen, dass es wichtig ist, WordPress auf dem neuesten Stand zu halten<\/a>, ebenso wie alle Plugins<\/a> oder Themes<\/a>.<\/p>\n

Aber es wird immer Webseitenbesitzer geben, die nicht willens oder nicht in der Lage sind, ihre Version von WordPress zu aktualisieren. Wenn sie eine Version verwenden, die \u00e4lter als die REST-API ist, ben\u00f6tigen sie trotzdem Zugang zu xmlrpc.php.<\/p>\n

Schauen wir uns die spezifischen Schwachstellen genauer an.
\n