Hätten Sie das gedacht?
Sie sichern Ihr WordPress-System ab, nach allen Regeln der Kunst und haben ein gutes Gefühl, gegen Hackerangriffe weitestgehend abgesichert zu sein.
Leider Fehlanzeige!
Denn es gibt es noch eine fiese, kleine Möglichkeit, Ihr System anzugreifen. Und zwar über eine harmlos daherkommende Datei namens „xmlrpc.php“. Wie Sie in diesem Artikel nachlesen können, bestehen für einen Angreifer gleich 4 hübsche Möglichkeiten, in Ihr System einzudringen, vorbei an allen Sicherheitsmaßnahmen.
Die meisten Anwender kennen diese Datei „xmlrpc.php“ und deren Bedeutung gar nicht. Sie wird in erster Linie dazu gebraucht, WordPress in die Lage zu versetzen, sogenannte Pingbacks zu verarbeiten. Außerdem ermöglicht diese Datei, Artikel über einen externen Editor zu erstellen und in WordPress zu veröffentlichen, z. B. Windows Live Writer.
Wenn Sie diese Funktionalität nicht einsetzen, also Ihre Artikel immer direkt in WordPress schreiben und auf ein paar Pingbacks verzichten können, dann sollten Sie dieses Sicherheitsloch unbedingt schließen. Erst recht sollten Sie dieses tun, wenn Sie WordPress nicht als Blog sondern als CMS nutzen und damit eine ganz normale Website steuern.
Sicherheitsloch schließen
Das geht sehr bequem über die Datei .htaccess“, die sie in Ihrem WordPress Stammverzeichnis finden sollten.
Fügen Sie am Ende der Datei, die Sie in einem Texteditor wie z.B. Notepad++ bequem bearbeiten können, folgenden Code ein:
# Beginn Protect xmlrpc <IfModule mod_alias.c> RedirectMatch 403 /xmlrpc.php </IfModule> # Ende Protect xmlrpc.php
Dieser Code bewirkt, dass jeder externe Zugriff auf die Datei „xmlrpc.php“ einen 403 Server-Fehler verursacht. Den Unterschied und das Funktionieren dieses Codes können Sie ganz einfach testen:
Rufen Sie vor Hinzufügen des Codes einmal die besagte Datei in Ihrem Browser auf, also in etwa so:
http://www.meine-Domain.de/xmlrpc.php
Sie sollten dann von der Datei eine Rückmeldung erhalten, die lautet:
XML-RPC server accepts POST requests only.
Fügen Sie nun den Code in Ihre .htaccess-Datei ein und rufen Sie die URL erneut auf. Sie sollten dann einen 403-Fehler erhalten.
Wenn es funktioniert, dann können Sie stolz auf sich sein. Wieder ein Sicherheitsloch geschlossen, Kampf den Hackern!
Wenn Sie die Nase voll haben von all diesen technischen Details, was ich verstehen könnte, und einfach nur Ruhe haben wollen, dann können Sie auch einen unserer WordPress-Services buchen. Das sind Rund-Um-Sorglos-Pakete, die Ihnen eine Menge Zeit und Arbeit ersparen können.