{"id":33459,"date":"2020-07-20T07:15:44","date_gmt":"2020-07-20T14:15:44","guid":{"rendered":"https:\/\/kinsta.com\/?p=65020"},"modified":"2023-06-21T07:46:00","modified_gmt":"2023-06-21T05:46:00","slug":"xmlrpc-php","status":"publish","type":"post","link":"https:\/\/kinsta.com\/nl\/blog\/xmlrpc-php\/","title":{"rendered":"Een complete uitleg over xmlrpc.php in WordPress (wat het is, veiligheidsrisico’s, hoe schakel je het uit)"},"content":{"rendered":"

De XML-RPC WordPress specificatie is ontwikkeld om communicatie tussen verschillende systemen te standaardiseren. Dat wil zeggen dat toepassingen buiten WordPress (bijvoorbeeld andere bloggingplatforms<\/a> en desktopclients) met WordPress kunnen werken.<\/p>\n

Deze specificatie is al onderdeel van WordPress sinds het begin<\/a> en was altijd erg nuttig. WordPress had zonder dit systeem in een eigen koker gezeten, apart van alle andere internettoepassingen.<\/p>\n

Maar xlmrpc.php heeft ook nadelen. Zo kan het kwetsbaarheden veroorzaken<\/a> in je WordPress website, en is het inmiddels overbodig gemaakt door de WordPress REST API<\/a>, die WordPress veel toegankelijker maakt voor andere toepassingen.<\/p>\n

In dit artikel zullen we uitleggen wat xmlrpc.php is, waarom je het beter kunt uitschakelen, en we helpen je vast te stellen of het \u00fcberhaupt actief is binnen je WordPress website.<\/p>\n

Ben je er klaar voor? Laten er dan induiken!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Wat is xmlrpc.php?<\/h2>\n

XML-RPC is een specificatie die communicatie mogelijk maakt tussen WordPress en andere systemen. Dit gebeurt door deze communicatie te standaardiseren, waarbij HTTP als transportmechanisme wordt gebruikt en XML als coderingsmechanisme.<\/p>\n

XML-RPC is ouder dan WordPress: het was namelijk al onderdeel van de b2 blogsoftware, waar WordPress zich van afsplitste in 2003. De code achter dit systeem is opgeslagen in een bestand dat xmlrpc.php<\/strong> heet, te vinden in de hoofdmap van de site. En daar kun je het nog altijd vinden, alhoewel XML-RPC allang achterhaald is.<\/p>\n

In eerdere versies van WordPress was XML-RPC standaard uitgeschakeld. Echter, dit veranderde met versie 3.5. De belangrijkste reden hiervoor was om het mogelijk te maken dat je mobiele WordPress app kon communiceren met je WordPress installatie<\/a>.<\/p>\n

Als je de WordPress mobiele app gebruikte v\u00f3\u00f3r versie 3.5, heb je wellicht wel eens XML-RPC in moeten schakelen op je website, voordat je content kon plaatsen vanuit de app. Dat was omdat de app niet WordPress zelf draaide, maar echt een aparte app was die met WordPress communiceerde via xmlrpc.php.<\/p>\n

Maar XML-RPC wordt niet alleen gebruikt voor de mobiele app. Het maakt ook de communicatie tussen WordPress en andere blogplatforms mogelijk en zorgt ook dat trackbacks<\/a> en pingbacks<\/a> goed kunnen werken. Het was de techniek achter de Jetpack plugin<\/a>, waarmee een zelf-gehoste WordPress website werd gelinkt aan WordPress.com<\/a>.<\/p>\n

Maar sinds de REST API werd ge\u00efntegreerd in de WordPress kern is het xmlrpc.php bestand niet langer nodig om deze dingen te bewerkstelligen. In plaats daarvan wordt de REST API gebruikt om te communiceren met de mobiele WordPress app, met desktop clients, andere blogplatforms, WordPress.com<\/a> (voor de Jetpack plugin) en met andere systemen en diensten. De REST API kan communiceren met veel meer systemen<\/a> dan xmlrpc.php. Het biedt ook meer flexibiliteit.<\/p>\n

Omdat de REST API XML-RPC heeft vervangen, zou je tegenwoordig xmlrpc.php uit moeten zetten binnen je site. Laten we kijken waarom.<\/p>\n

Waarom je xmlrpc.php beter kunt uitschakelen<\/h2>\n

De belangrijkste reden waarom je xmlrpc.php beter kan uitschakelen binnen je WordPress website, is omdat het zorgt voor kwetsbaarheden<\/a>, die bij aanvallen gebruikt kunnen worden.<\/p>\n

En aangezien je niet langer XML-RPC nodig hebt om te communiceren met systemen buiten WordPress, vervalt de noodzaak om het actief te houden. Daarom is het verstandig je website veiliger te maken<\/a> door het gewoon uit te zetten.<\/p>\n

Maar waarom is xmlrpc.php \u00fcberhaupt nog onderdeel van WordPress, als het geen functie heeft en wel een veiligheidsrisico cre\u00ebert?<\/p><\/blockquote>\n

E\u00e9n van de belangrijkste features van WordPress is dat het altijd compatibel is met oudere systemen. Als je je website goed beheert<\/a>, zul je weten dat het up-to-date houden van WordPress<\/a> en al je plugins<\/a> en thema’s<\/a> een essenti\u00eble taak is.<\/p>\n

Maar er zullen altijd websitebeheerders zijn die hun WordPress versie niet kunnen of willen updaten. En ja, als ze een versie gebruiken die ouder is dan een versie met een REST API, hebben ze toegang nodig tot xmlrpc.php.<\/p>\n

Laten we in detail naar de specifieke kwetsbaarheden kijken.<\/p>\n