XmlRPC API (Schnittstelle) in WordPress deaktivieren oder absichern

Seit WordPress 3.5 wurde die Xml-Rpc API als Default/Standartwert auf Aktiv gesetzt. Leider benötigen viele diese nicht, da sie sowohl Pingbacks wie auch keine 3. Anwendung nutzen. Das heist aber auch das insgesamt sehr viel wegfällt darunter auch WordPress für Android, BlogDesk, Windows Live Writer, WordPress für iOS usw.. Leider gibt es auch möglichkeiten diese Schnittstelle für Hackattacken(Bruteforce, DDos usw.) genutzt zu werden. Früher konnte man diese Api, direkt in den Settings deaktivieren, leider ist dem nicht mehr so. Es ist kein Hexenwerk dies zu deaktivieren. An das Ender der functions.php hängt man einfach folgende Funktion. [php]// -- xmlrpc deaktivieren add_filter( 'xmlrpc_methods', function( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } ); [/php] Sollte man sie dennoch benötigen, kann man diese aber auch per .htaccess absichern. Dazu benätigen wir jedoch das mod_setenvif Modul:

a2enmod mod_setenvif service apache2 reload

Die Htaccess: [code]<ifmodule mod_setenvif.c> <files xmlrpc.php> BrowserMatch "Poster" allowed BrowserMatch "WordPress" allowed BrowserMatch "Windows Live Writer" allowed BrowserMatch "wp-iphone" allowed BrowserMatch "wp-android" allowed BrowserMatch "wp-windowsphone" allowed Order Deny,Allow Deny from All Allow from env=allowed </files> </ifmodule>[/code] In diesemHtaccess Code erlaubt man lediglich:

• Poster
• WordPress-Blogs
• Windows Live Writer
• WordPress for iOS
• WordPress for Android
• WordPress for Windows Phone

Dies ist natürlich nur ein Schutz sich vor allgemeinen RPC Angriffen zu schützen. Die Crackheads sind auch in der Lage sich einfach den User-Agent Wert auf einen der beliebigen zu setzen, so könnte ihr dann, wenn ihr bsp. wisst, das ihr nur das Android Tool benutzt, den Rest auf Disallowed setzen. Das andere wäre natürlich Fail2Ban.