So deaktivieren Sie XML-RPC in WordPress für bessere Sicherheit

Sicherheit / von / Februar 7, 2026
WordPress XML‐RPC deaktivieren Tutorial Grafik

XML-RPC ist eine ältere WordPress-Funktion, die Remote-Zugriff und Verwaltung Ihrer Website ermöglicht – einschließlich der Buchung von Apps, Jetpack und der WordPress-Mobil App. Obwohl in der Vergangenheit nützlich, ist es ein großes Sicherheitsrisiko geworden, da Angreifer es häufig für brute-force-Anmeldeversuche, DDoS-Angriffe und XML-RPC-Pingback-Überschwemmungen nutzen. Disabling XML-RPC ist eine der einfachsten und effektivsten Sicherheitsmaßnahmen, die Sie ergreifen können, vor allem, wenn Sie nicht Remote Publishing-Tools verwenden. Bei Cope Business empfehlen wir Ihnen, während unserer technische SEO Audits die angriffsfläche zu reduzieren und den gesamten standortschutz zu verbessern.

Dieser Leitfaden erklärt, warum Sie XML-RPC deaktivieren sollten, wenn es sicher ist, dies zu tun, und drei zuverlässige Methoden, um es in WordPress abzuschalten.

Warum deaktivieren Sie XML-RPC in WordPress?

  • Brute-Force Angriffe — XML-RPC erlaubt unbegrenzte Anmeldeversuche ohne Ratenbegrenzung.
  • DDoS Verstärkung — Angreifer können Pingbacks verwenden, um Ihren Server zu überlasten.
  • Pingback Spam — Ermöglicht Spammer, automatisierte Trackback Spam zu senden.
  • Vermächtnis und Ungebraucht — Die meisten Benutzer verlassen sich auf REST API (sicherer) für Remote-Zugriff.
  • Leistung und Sicherheit — Die Ableitung verringert unnötige Anfragen und potenzielle Schwachstellen.

Wenn Sie Jetpack, die WordPress mobile App oder Remote-Publishing verwenden, benötigen Sie möglicherweise XML-RPC aktiviert – andernfalls ist es sehr empfehlenswert.

Wenn Sie XML-RPC nicht deaktivieren

Halten Sie es nur aktiviert, wenn Sie aktiv nutzen:

  • Jetpack (einige Features erfordern XML-RPC)
  • WordPress mobile Apps
  • Remote-Posting-Tools (z.B. Windows Live Writer, MarsEdit)
  • Bestimmte Plugins, die auf XML-RPC vertrauen

Die meisten modernen Alternativen verwenden die REST-API, so ist das Abschalten sicher für 90%+ of Benutzer.

3 Methoden, um XML-RPC in WordPress zu deaktivieren

Methode 1: Verwendung eines Plugins (leicht & Empfohlen)

Plugins bieten eine Klick-Deaktivierung mit zusätzlichen Sicherheitsvorteilen.

Empfohlenes Plugin: XML-RPC deaktivieren (Kostenlos und einfach)

  1. Installieren und aktivieren XML-RPC deaktivieren von Plugins > Neues hinzufügen.
  2. Das ist es – das Plugin deaktiviert sofort alle XML-RPC-Anfragen.
  3. Keine Konfiguration erforderlich — es funktioniert sofort.

Alternative: Alles in einem WP Security & Firewall (kostenlos) — Aktivieren Sie die Option XML-RPC deaktivieren in Einstellungen.

Pros: Sofort, reversibel, fügt zusätzliche Sicherheitsschichten hinzu. Negativ: Füget noch ein Plugin hinzu (sehr leicht).

Methode 2: Deaktivieren über .htaccess (kein Plugin – höchstzuverlässig)

Diese Apache-Methode blockiert den Zugriff auf xmlrpc.php.

  • Zugriff auf Ihre Website über FTP oder Hosting-Dateimanager.
  • Suchen Sie .htaccess im Root-Verzeichnis (oben!).
  • Fügen Sie diesen Code oben hinzu:
text# Disable XML-RPC <Files xmlrpc.php> order deny,allow deny from all </Files>
  • Speichern und hochladen.
  • Prüfung: Versuchen Sie, auf yourdomain.com/xmlrpc.php zuzugreifen — Sie sollten einen 403 Verbotenen Fehler sehen.

Anmerkung: Funktioniert nur auf Apache-Servern. Für NGINX wenden Sie sich an Ihren Host, um die entsprechende Regel hinzuzufügen.

Methode 3: Deaktivieren über Code in Functions.php (Kunde & Leichtgewicht)

Fügen Sie dies zu den Funktionen des Kinderthemas.php oder über WPCode Plugin hinzu:

PHP

add_filter( 'xmlrpc_enabled', '__return_false' );

Dies deaktiviert XML-RPC völlig und sicher, ohne die Datei zu blockieren.

Pros: Keine zusätzlichen Dateien / Plugins. Negativ: Erfordert Kinder-Thema oder Schnippet-Plugin.

Wie zu überprüfen XML-RPC ist deaktiviert

  • Besuchen Sie yourdomain.com/xmlrpc.php — sollte 403 oder leere Seite zurückgeben.
  • Verwenden Sie Online-Tools wie xmlrpcpingback.com oder Sicherheitsscanner.
  • Überprüfen Sie Serverprotokolle für blockierte XML-RPC-Anfragen.

Zusätzliche Sicherheitstipps

  • Kombinieren Sie mit Login-Begrenzung (siehe unsere führung).
  • Aktivieren Sie 2FA und starke Passwörter.
  • Halten Sie WordPress, Themen und Plugins aktualisiert.
  • Verwenden Sie ein Sicherheits-Plugin wie Wordfence zur Überwachung.

Disabling XML-RPC ist ein schneller Gewinn, der das Risiko deutlich reduziert.

Letzte Gedanken

XML-RPC ist ein Vermächtnis-Feature, das für die meisten Nutzer keine sinnvollen Vorteile mehr bietet – das Deaktivieren ist eine intelligente Sicherheitsentscheidung. Verwenden Sie ein Plugin für Einfachheit oder .htaccess/code für maximale Effizienz.

Eine sicherere Website ist eine schnellere, vertrauenswürdigere Website.

Erfahren von Sicherheitsbedenken oder benötigen Sie eine komplette Standortverfestigungsprüfung? Kontakt Cope Business für eine kostenlose technische SEO Beratung – wir sichern Ihre WordPress-Website und optimieren sie für Leistung und Ruhe des Geistes.

War dieser Artikel hilfreich?
JaNein

In den Warenkorb