Über die XML-RPC Schnittstelle kann auf WordPress mit externen Programmen zugegriffen werden. Zum Beispiel sind viele Funktionen des beliebten Jetpack Plugins von der xlm-rpc Schnittstelle abhängig. Eine solche Schnittstelle birgt allerdings auch immer die Gefahr möglicher Angriffe. Seit WordPress 3.5 ist die xml-rpc Schnittstelle standardmäßig aktiviert.
Um die XML-RPC Schnittstelle zu deaktivieren, gibt es mehrere Möglichkeiten.
1. Das Plugin Disable XML-RPC
2. Ein Filter in der wp-config.php
/*** Deaktiviert die XML-RPC Schnittstelle ***/ add_filter( 'xmlrpc_enabled', '__return_false' );
3. Ein Eintrag in der .htaccess
<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
4. Serverweit durch einen Eintrag in der httpd.conf deaktivieren
<FilesMatch "^(xmlrpc\.php)"> Order Deny,Allow Deny from all </FilesMatch>
Wenn auch trackbacks deaktiviert werden sollen
<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)"> Order Deny,Allow Deny from all </FilesMatch>
Wenn wordpress.com (jetpack) erlaubt werden soll
<FilesMatch "^(xmlrpc\.php)"> Order Deny,Allow # Whitelist Jetpack/ Automattic CIDR IP Address Blocks Allow from 192.0.64.0/18 Allow from 209.15.0.0/16 Allow from 66.155.0.0/17 Allow from example.com Allow from wordpress.com Deny from all </FilesMatch>