Header - xmlrpc Schnittstelle - Wordpress

Mutti

Member
Hallo zusammen,

ich habe hier ein Phänomen was ich mir bisher nicht erklären kann.

Im Header einer Domain auf dem Server taucht die "xmlrpc" Schnittstelle auf.

Code:
# x-pingback     https://www.example-domain.de/xmlrpc.php

"xmlrpc" ist aber Serverweit deaktiviert (PHP Einstellungen - Plesk ) und auch in der Wordpress Konfiguration nochmal abgeschaltet.

Alle Wordpress Installationen auf dem Server sind gleich konfiguriert.

Danke voraus.
 
Im HTTP Header
Danke voraus.

Code:
HTTP/1.1 200 OK Date: Thu, 03 Dec 2020 21:13:58 GMT Server: Apache X-Pingback: https://www.domain-example.de/xmlrpc.php

im HTML-Head Bereich aber auch.
 
Ich weiß es nicht genau, aber vermutlich setzt Wordpress einfach via PHP diesen Header ohne zu überprüfen ob dieses Feature in PHP aktiviert ist oder nicht.

Schau mal nach ob du bei Wordpress in den Einstellungen etwas ändern kannst. Muss man doch deaktivieren können.

XMLRPC ist ein Protokoll zur Anbindung von Programmiersprachen an fremde Systeme. So könnte z.B. sich ein Script Authentifizieren und dann irgendwas machen. Die Programmiersprache kann via XMLRPC Funktionen auf dem fremden System ausführen.
 
Die /httpdocs/wp-content/themes/DEINTHEME/functions.php patchen:
Code:
// Disable use XML-RPC
add_filter( 'xmlrpc_enabled', '__return_false' );

// Disable X-Pingback to header
add_filter( 'wp_headers', 'disable_x_pingback' );
function disable_x_pingback( $headers ) {
    unset( $headers['X-Pingback'] );

return $headers;
}

Dann wirft WP nichts mehr in die HTTP-Header.

Allerdings überschriebt jedes Update bei Themes+WP das.
 
Last edited:
Best way to eliminate xmlrpc.php?

Ja, krass. Hätte nie gedacht, dass die Entwickler von Wordpress solche schwerwiegenden Entscheidungen für den Nutzer treffen.
Die haben die Funktion zur Deaktivierung von xmlrpc einfach entfernt.

In dem verlinkten Beitrag wird auch noch die Methode beschrieben das Script via .htaccess zu schützen.
Das ändert aber nicht den Header (HHTP)/Head (HTML). Zumindest der Zugriff lässt sich beschränken ohne Wordpress selbst anfassen zu müssen.

Leider kenne ich mich mit PHP kaum aus. Kann man den Filter nicht mit einem anderen Script hinzufügen, welches automatisch ausgeführt wird, aber nicht durch die Installation/Updates überschrieben wird?

Vielleicht könnte das hier die Lösung sein: How to Safely Add Custom Code to WordPress Sites
 
Schau mal nach ob du bei Wordpress in den Einstellungen etwas ändern kannst. Muss man doch deaktivieren können.
Vielen Dank. Das lässt saich im BackEnd von Wordpress nicht ändern.
Die /httpdocs/wp-content/themes/DEINTHEME/functions.php patchen

Allerdings überschriebt jedes Update bei Themes+WP das.
Auch vielen Dank an dich.
Das hatte ich schon eingefügt. Das merkwürdige ist ja das alle 7 Wordpress Installationen gleich konfiguriert sind und nur eine den Header mit der Schnittstelle ausgibt.
 
Die /httpdocs/wp-content/themes/DEINTHEME/functions.php patchen:
Code:
// Disable use XML-RPC
add_filter( 'xmlrpc_enabled', '__return_false' );

// Disable X-Pingback to header
add_filter( 'wp_headers', 'disable_x_pingback' );
function disable_x_pingback( $headers ) {
    unset( $headers['X-Pingback'] );

return $headers;
}

Dann wirft WP nichts mehr in die HTTP-Header.

Allerdings überschriebt jedes Update bei Themes+WP das.
oder einfach in wp-plugins
 
Back
Top