Neu: Wildcard-Zertifikate über Let’s Encrypt oder ZeroSSL
Mit einem Wildcard-Zertifikat schützen Sie Ihre Domain und beliebig viele Subdomains. Über ISPConfig können jetzt auch Wildcard-Zertifikate von Let’s Encrypt und ZeroSSL ausgestellt werden.
03. Mai 2022
Deaktivierung der WordPress xmlrpc.php am 9.5.2022
XML-RPC wurde für die Kommunikation von WordPress mit Anwendungen außerhalb des CMS genutzt. Zwischenzeitlich wurde sie durch die WordPress-REST-API ersetzt und wird nicht mehr benötigt. Außerdem stellt sie ein Sicherheitsrisiko dar, denn durch Schwachstellen und Mängel ermöglicht sie Angriffe auf Ihre Website.
Um Ihrem WordPress mehr Sicherheit zu verleihen werden wir daher am 9.5.2022 den Zugriff auf die xmlrpc.php deaktivieren.
Was müssen Sie tun?
In Vor- oder Nachbereitung auf die Deaktivierung der xmlrpc.php durch uns müssen Sie nichts unternehmen. Die Abschaltung hat keinen Einfluss auf Funktionalitäten Ihres Content Management Systems.
Hinweis: Falls Sie die xmlrpc.php für Ihr WordPress weiterhin benötigen, kontaktieren Sie uns bitte unter support@timmehosting.de.
Warum wird xmlrpc.php deaktiviert?
Über die XML-RPC Schnittstelle war die Kommunikation zwischen WordPress und anderen Blogging-Plattformen, WordPress-Systemen sowie der WordPress Mobile App möglich. Aus diesem Grund war sie auch immer automatisch aktiviert. Mit der Einführung der REST API im Dezember 2016 als Teil des Cores in der WordPress Version 4.7 wird die XML-RPC nicht mehr benötigt. Mit der Deaktivierung unterbinden wir den Zugriff auf die xmlrpc.php mit entsprechenden nginx-Direktiven. Dadurch können wir einige mögliche Angriffsszenarien wie zum Beispiel Brute Force Angriffe auf den Login oder DDoS-Attacken per Pingbacks verhindern.
Falls Sie prüfen möchten, ob die Schnittstelle bei Ihnen noch aktiv ist, können Sie sie in Ihrem Browser über www.ihre-website.tld/xmlrpc.php aufrufen.
Welche Aufgabe hat die WordPress-REST-API?
Die Abkürzung API steht für "Application Programming Interface" – Programmierschnittstelle; REST für "Representational State Transfer" und definiert die Standards für den Informationsaustausch mittels API.
Über die WordPress-REST-API können Anwendungen mit Ihrer Website interagieren. Sie bildet die Basis des WordPress Block-Editors und ermöglicht Plugin-Schnittstellen – ohne die Sicherheit oder den Datenschutz Ihrer Seite zu gefährden. Über die REST API kann direkt mit der von WordPress genutzten Datenbank kommuniziert werden. Dabei sind ausschließlich Inhalte zugänglich, die auch auf Ihrer Website öffentlich sind. Alle privaten Inhalte, wie zum Beispiel interne Benutzer und Metadaten, sind nur über eine Authentifizierung zugänglich.
Für das Versenden und Empfangen der Daten wird das Standard-Datenformat JSON (JavaScript Object Notation) genutzt. Viele Programmiersprachen unterstützen JSON, sodass Entwickler die WordPress-Anwendungen sowohl im clientseitigen JavaScript (wie dem Block-Editor), aber auch als mobile Apps oder als Desktop- und Befehlszeilen-Tools erstellen können.
Der Zugriff auf die WordPress REST API erfolgt per Kommandozeile – WordPress nutzt dafür das Tool "WP-CLI" – oder über einen Browser via https://ihre-domain.tld/wp-json/. Über verschiedene Kommandos und Befehle können Sie dann die Inhalte abrufen.
Alle Infos rund um die REST API können Sie in den offiziellen Developer Resources von WordPress nachlesen.
