Als je ooit hebt gewerkt met WordPress, dan heb je vast wel eens gehoord van XMLRpc. Maar wat is het precies en waarom is het in de meeste gevallen verstandig XMLRpc te blokkeren als onderdeel van het beveiligen van WordPress? In dit artikel leggen we je het uit.
Wat is XMLRpc en wanneer gebruik je het?
XML-RPC is een protocol dat XML gebruikt om data te verzenden naar je WordPress-website. Zo kun je bijvoorbeeld op afstand berichten publiceren of content beheren. Dit wordt in de praktijk niet veel gebruikt, maar is wel standaard geactiveerd binnen WordPress.
Misbruik van XMLRpc
We zien dat XMLRpc vaak de oorzaak is van problemen met de stabiliteit, veiligheid en snelheid van je website. Malware en hackers vinden het een fijn doelwit voor brute force aanvallen. Ze proberen keer op keer in te loggen op je WordPress site door allerlei combinaties van gebruikersnamen en wachtwoorden te gebruiken, om content te plaatsen als ze eenmaal de juiste combinatie van gebruikersnaam en wachtwoord hebben gevonden.
Daarnaast zien we vaak dat XMLRpc heel vaak wordt aangeroepen als onderdeel van een DDoS-aanval. Het aanroepen van XMLRpc triggert een relatief zwaar proces in WordPress dat niet gecached kan worden. Als je XMLRpc heel vaak in korte tijd aanroept, dan kan dat tot overbelasting van je hostingpakket leiden, waardoor je website traag of zelfs onbereikbaar wordt.
Bescherm je website: deactiveer XMLRpc
Als je problemen wilt voorkomen, is het een goed idee om XMLRpc te deactiveren. Hier zijn een paar manieren waarop je dat kunt doen:
Via .htaccess:
Heb je toegang tot het .htaccess-bestand? Dan kan je daar enkele regels code aan toevoegen om XMLRpc af te schermen. Open je .htaccess
-bestand en voeg de volgende regels toe, bovenaan het bestand:
<Files xmlrpc.php> order deny,allow deny from all </Files>
Nu is de toegang tot het xmlrpc.php
bestand geblokkeerd en ben je beschermd tegen eventueel misbruik.
Met een WordPress veiligheidsplugin
Er zijn verschillende veiligheidsplugins beschikbaar die het mogelijk maken om XMLRpc eenvoudig te deactiveren. Plugins zoals iThemes Security en Wordfence bieden opties om XMLRpc met een paar klikken te deactiveren.
Met de WordPress Toolkit van PUIK Hosting
Als je gebruik maakt van WordPress Hosting van PUIK, dan heb je de mogelijkheid om XMLRpc in één klik uit te zetten. Volg daarvoor de volgende stappen:
- Open in je controlpanel de WordPress Toolkit.
- Klik achter de optie Security op Fix Vulnerabilities.
- Zet vervolgens een vinkje bij Block Access to xmlrpc.php en klik op Secure.