Hieronder lees je wat xmlrpc.php eigenlijk is en waarom het is ontstaan. Ik geef aan welke beveiligingsproblemen het veroorzaakt en hoe je deze op je eigen WordPress site kunt dichten.
WordPress heeft altijd ingebouwde functies gehad waarmee je op afstand kunt communiceren met je site. Soms moet je toegang hebben tot je website en heb je je computer even niet bij de hand. Dan is het handig als je met je mobiele telefoon je website toch kan updaten.
Lange tijd was de oplossing een bestand met de naam xmlrpc.php . Maar de laatste jaren is het bestand meer een lastpost geworden dan een oplossing.
Wat is Xmlrpc.php?
XML-RPC is een functie van WordPress die het mogelijk maakt om gegevens te verzenden. Aangezien WordPress geen gesloten systeem is en af en toe met andere systemen moet communiceren is dit uitvonden om die taak uit te voeren.
Laten we bijvoorbeeld zeggen dat je een bericht op je site wilde plaatsen vanaf je mobiele telefoon, omdat je computer nergens in de buurt was. Je zou de functie voor toegang op afstand kunnen gebruiken die door xmlrpc.php is ingeschakeld om dat te doen. Vrij handig in de vroege dagen van WordPress dus.
Waarom werd Xmlrpc.php gemaakt?
De implementatie van XML-RPC gaat terug tot het begin van WordPress.
In de begin van het internet toen de verbindingen ongelooflijk traag waren (inbelverbinding) was het proces van schrijven en publiceren naar het web veel moeilijker en tijdrovender. In plaats van te schrijven in de browser zelf, schreven de meeste mensen offline en kopieerden en plakten ze hun inhoud op het web. Dit was dus niet echt ideaal te noemen.
De oplossing toentertijd was om een offline blog ‘app’ te maken, waar je je content in kon maken en vervolgens verbinding kon maken met je blog om deze te publiceren. Deze verbinding werd gemaakt via XML-RPC.
Waarom zou je Xmlrpc.php uitschakelen?
De grootste problemen met XML-RPC zijn de veiligheidsproblemen die zich voordoen. De problemen zijn niet direct met XML-RPC, maar hoe het bestand gebruikt kan worden om een bruteforce aanval op je site mogelijk te maken.
Je kunt jezelf beschermen met hele sterke wachtwoorden en WordPress beveiliging. Maar de beste manier van bescherming is om het gewoon uit te schakelen.
Xmlrpc.php uitschakelen met een plugin
Het uitschakelen van XML-RPC op je WordPress site is vrij simpel.
Navigeer naar de plug-ins sectie vanuit je WordPress dashboard.
Zoek naar ‘Disable XML-RPC’ en installeer de plug-in.
Activeer de plug-in en je bent klaar. Deze plug-in zal automatisch XML-RPC uitschakelen.
Houd er rekening mee dat sommige al geïnstalleerde plug-ins (delen van) XML-RPC kunnen gebruiken, dus het volledig uitschakelen van het XML-RPX kan leiden tot een plug-in conflict of tot het niet meer functioneren van bepaalde elementen van je site.
Test dus uitvoerig je site of alles nog steeds werkt zoals het zou moeten. Grote kans dat alles gewoon werkt maar het kan geen kwaad.
Weet je niet hoe je een plugin moet installeren? Bekijk hieronder de video met uitleg.