endeavor-san-francisco-matt

WordPress 3.5: XML-RPC Schnittstelle wird standardmäßig für alle Seiten aktiviert

Die XML-RPC Schnittstelle in WordPress dient dazu, um WordPress mit externen Programmen verwalten zu können. Zum Beispiel um Artikel zu veröffentlichen oder Kommentare zu bearbeiten. Zu den Programmen gehören unter anderem die mobilen Anwendungen für iOS, Android und Co, aber auch der Windows Live Writer.

Schnittstellen sind immer mit Vorsicht zu genießen, denn bei schlechter Umsetzung können sie eine optimale Angriffsfläche für Angriffe mit bösen Absichten bieten.
Vor WordPress 3.5 gab es deshalb die Möglichkeit die Schnittstelle einfach nach Belieben zu aktivieren bzw. deaktivieren. Deaktiviert war sie aber standardmäßig.

Diese Einstellungen wird es in WordPress 3.5 nicht mehr geben.

In Laufe der Zeit wurde die XML-RPC Schnittstelle immer weiter ausgebaut und verbessert. Dies geschah hauptsächlich in WordPress 3.4.
Aus diesem Grund wird die XML-RPC Schnittstelle ab WordPress 3.5 standardmäßig aktiviert sein. Für neue Installationen sowie auch bestehende Seiten.
Gleichzeitig wurde die entsprechende Einstellung im User Interface entfernt.

XML-RPC Schnittstelle in WordPress 3.5 deaktivieren

Wie nun die Schnittstelle ohne UI deaktivieren? Per Filter.
Zum Deaktivieren wurde ein neuer Filter names xmlrpc_enabled angelegt. Daraus ergibt sich folgender Code:

/**
 * Deaktiviert die XML-RPC Schnittstelle ab WordPress 3.5.
 */
add_filter( 'xmlrpc_enabled', '__return_false' );

Am Rande: Atom Publishing Protocol

Neben dem XML-RPC Protokoll gab es in WordPress noch das Atom Publishing Protocol. Diese Schnittstelle wurde in WordPress 3.5 entfernt und in ein Plugin ausgelagert.

Zum Thema

Titelbild von Matt.

8 thoughts on “WordPress 3.5: XML-RPC Schnittstelle wird standardmäßig für alle Seiten aktiviert”

    1. da werden sich die spammer aber freuen. es werden ziemlich sicher sicherheitslücken entdeckt und genutzt. die meisten werden das leider nicht mehr abstellen können.

      eine völlig sinnlose änderung.

  1. Hallo.
    Ich benutze zur Verwaltung meiner sozialen Netzwerke die kostenlose Basic-Version von HootSuite. Alles im Überblick. Jedoch ist eine mögliche vorbereitete Einbindung von WordPress Blog nicht möglich.
    Hier heißt es bei der Anmeldung: The WordPress app for HootSuite supports WordPress.org sites V 3.4+/ Your WordPress site must be XML-RPC enabled.
    Wo liegt der Fehler, dass ich WP nicht in HootSuite aktivieren kann?
    Für einen hilfreichen Tipp wäre ich sehr dankbar. Grüße!

  2. Komischerweise funktioniert aber mein App nicht mehr seit dem Update auf 3.5 – dadurch bin ich auf diesen Artikel gestoßen, weil ich nun ein neues Handy habe (Galaxy S3) und mich jetzt noch nicht mal mehr anmelden kann :-(

    Irgendeine Idee woran das liegen könnte?

    1. Hey,

      die App greift dabei immer auf die URL http://www.chephe.de/xmlrpc.php zu. Wenn du die mal öffnest, dann siehst du eine Fehlermeldung: Fatal error: Allowed memory size of 41943040 bytes exhausted.

      Das heißt, dass der RAM, 40MB bei Dir, zu klein ist. Eigentlich sollten 40MB reichen, eventuell zu viele Plugins aktiv? Kannst ja mal paar deaktivieren und schauen, ob die Meldung weg geht. Ansonsten Hoster um Erhöhung bitten.

  3. Hmm… eigentlich hab ich recht wenige Plugins wenn man es so sieht *Kopf-kratz*

    Hab aber deinen Rat befolgt und 3 deaktiviert und es hat tatsächlich geklappt! Vielen Dank für deine Hilfe! :-D

  4. hallo zusammen,

    also bei mir (iphone 5, iOS 6.0) kommt immer noch die XML-RPC fehlermeldung bei der aktuellen version meiner WP-app.
    mein blog läuft bereits auf WP version 3.5.1…

    jemand ‘ne idee woran das liegen könnte?

    beste grüße
    marcus

Leave a Reply