Über die XML-RPC Schnittstelle kann auf WordPress mit externen Programmen zugegriffen werden. Zum Beispiel sind viele Funktionen des beliebten Jetpack Plugins von der xlm-rpc Schnittstelle abhängig. Eine solche Schnittstelle birgt allerdings auch immer die Gefahr möglicher Angriffe. Seit WordPress 3.5 ist die xml-rpc Schnittstelle standardmäßig aktiviert.

Um die XML-RPC Schnittstelle zu deaktivieren, gibt es mehrere Möglichkeiten.

1. Das Plugin Disable XML-RPC

2. Ein Filter in der wp-config.php

/*** Deaktiviert die XML-RPC Schnittstelle ***/
add_filter( 'xmlrpc_enabled', '__return_false' );

3. Ein Eintrag in der .htaccess

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

4. Serverweit durch einen Eintrag in der httpd.conf deaktivieren

<FilesMatch "^(xmlrpc\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>

Wenn auch trackbacks deaktiviert werden sollen

<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>

Wenn wordpress.com (jetpack) erlaubt werden soll

<FilesMatch "^(xmlrpc\.php)">
Order Deny,Allow
# Whitelist Jetpack/ Automattic CIDR IP Address Blocks
Allow from 192.0.64.0/18
Allow from 209.15.0.0/16
Allow from 66.155.0.0/17
Allow from example.com
Allow from wordpress.com
Deny from all
</FilesMatch>