WordPress XML-RPC – Was es ist, warum viele Webseiten es abschalten und welche Rolle die REST API heute spielt

WordPress & XML-RPC

Viele Betreiber einer WordPress Webseite stoßen früher oder später auf den Begriff XML-RPC. Häufig passiert das im Zusammenhang mit Sicherheitsplugins, Login-Angriffen oder Warnmeldungen im Hosting. Trotzdem wissen viele nicht genau, was XML-RPC eigentlich ist, warum diese Funktion heute oft deaktiviert wird und welche Verbindung sie zur modernen REST API besitzt.

XML-RPC gehört zu den älteren Schnittstellen von WordPress und stammt aus einer Zeit, in der Webseiten noch deutlich einfacher aufgebaut waren als heute. Trotzdem spielt die Funktion bis heute eine Rolle, vor allem im Bereich Sicherheit und Wartung.

Was ist XML-RPC überhaupt?

XML-RPC ist eine Schnittstelle, mit der externe Anwendungen mit einer WordPress Webseite kommunizieren können. Die Kommunikation läuft dabei über XML-Daten und HTTP-Anfragen. Standardmäßig ist die Funktion über die Datei: /xmlrpc.php erreichbar.

Die Idee dahinter war ursprünglich sinnvoll. Inhalte sollten nicht nur direkt im Browser verwaltet werden können, sondern auch über externe Programme oder mobile Apps. Dadurch konnten Beiträge beispielsweise von Smartphones, Desktop-Programmen oder Publishing-Tools veröffentlicht werden, ohne sich direkt im WordPress-Backend anzumelden.

Bevor WordPress eine moderne REST API besaß, war XML-RPC eine der wichtigsten Möglichkeiten zur externen Kommunikation mit der Webseite.

Warum wird XML-RPC heute häufig deaktiviert?

Das eigentliche Problem liegt nicht darin, dass XML-RPC grundsätzlich fehlerhaft wäre. Kritisch wurde die Schnittstelle vor allem deshalb, weil sie von Angreifern massiv missbraucht wird.

Besonders bekannt sind sogenannte Brute-Force-Angriffe über XML-RPC. Dabei versuchen Bots automatisiert tausende Passwort-Kombinationen gegen eine WordPress Webseite zu testen. XML-RPC macht solche Angriffe teilweise besonders effizient, weil über die Funktion system.multicall mehrere Login-Versuche innerhalb einer einzigen Anfrage kombiniert werden können.

Dadurch entstehen teilweise enorme Angriffswellen auf schlecht geschützte Webseiten.

Wie groß dieses Problem tatsächlich ist, zeigen reale Zahlen großer Sicherheitsanbieter. Laut einer Analyse von Wordfence zu XML-RPC Angriffen registrierte Wordfence innerhalb von nur zwei Wochen über 108 Millionen XML-RPC-Angriffe auf WordPress Webseiten. Gleichzeitig wurden mehr als 224.000 unterschiedliche IP-Adressen beobachtet, die gezielt xmlrpc.php attackierten.

Diese Zahlen zeigen ziemlich deutlich, dass XML-RPC kein theoretisches Sicherheitsproblem ist, sondern bis heute aktiv von automatisierten Bots angegriffen wird.

Zusätzlich wurde XML-RPC in der Vergangenheit häufig für DDoS-Angriffe und Pingback-Missbrauch verwendet. Kompromittierte WordPress Webseiten wurden dadurch selbst Teil größerer Angriffsinfrastrukturen.

Gerade schlecht gewartete Webseiten geraten dadurch schnell ins Visier automatisierter Systeme.

Warum ist system.multicall so problematisch?

Die Funktion system.multicall gehört zu den bekanntesten Sicherheitsproblemen rund um XML-RPC. Sie erlaubt es, mehrere Befehle innerhalb einer einzigen Anfrage an WordPress zu senden.

Eigentlich sollte das die Kommunikation effizienter machen. Angreifer nutzen diese Funktion jedoch aus, um hunderte Login-Versuche gleichzeitig abzuschicken.

Das Problem dabei:

Klassische Schutzmechanismen erkennen oft nur die Anzahl einzelner HTTP-Anfragen. Wenn jedoch hunderte Passwortversuche innerhalb einer einzigen XML-RPC-Anfrage versteckt werden, umgehen Angreifer teilweise einfache Login-Limits oder Rate-Limits.

Auch Cloudflare zur XML-RPC Brute-Force Amplification beschrieb dieses Verhalten bereits ausführlich.

Wird XML-RPC heute überhaupt noch benötigt?

Für viele moderne Webseiten lautet die Antwort mittlerweile: nein.

Der Hauptgrund dafür ist die WordPress REST API. Seit WordPress 4.7 besitzt WordPress eine moderne Schnittstelle, die viele frühere XML-RPC-Funktionen ersetzt hat. REST arbeitet moderner, flexibler und nutzt typischerweise JSON statt XML.

REST-Endpunkte liegen meist unter:

/wp-json/

Die REST API wird heute beispielsweise für moderne Webanwendungen, Headless-WordPress-Projekte oder externe Schnittstellen genutzt. Dadurch verlor XML-RPC im Laufe der Jahre stark an Bedeutung und existiert heute hauptsächlich noch aus Kompatibilitätsgründen.

Für klassische Unternehmenswebseiten oder lokale Dienstleister-Webseiten wird XML-RPC deshalb häufig gar nicht mehr benötigt.

Warum ist das Thema gerade heute wichtig?

Cyberangriffe laufen heute wesentlich aggressiver und automatisierter ab als noch vor einigen Jahren. Bots durchsuchen das Internet permanent nach verwundbaren WordPress Installationen, unsicheren Plugins oder schlecht geschützten Schnittstellen wie XML-RPC.

Viele Webseitenbetreiber merken davon zunächst nichts. Die Webseite funktioniert scheinbar normal, während im Hintergrund automatisierte Angriffe laufen.

Genau deshalb ist Wartung heute weit mehr als nur „Updates installieren“.

Bei meinen Kundenprojekten ist Wartung ein wesentlicher Bestandteil der Sicherheitsstrategie. Ich arbeite mit Andreas Schmidt Arts aktiv an eigenen Sicherheits- und Monitoring-Lösungen für WordPress Webseiten, um verdächtige Aktivitäten früher sichtbar zu machen.

Denn viele Probleme entstehen nicht durch spektakuläre Hackerangriffe, sondern durch kleine Schwachstellen, die über Monate unbemerkt bleiben.

Sollte man XML-RPC abschalten?

In vielen Fällen ja.

Wenn keine externen Anwendungen oder älteren Dienste XML-RPC benötigen, reduziert das Abschalten die Angriffsfläche der WordPress Webseite deutlich.

Trotzdem sollte XML-RPC nicht blind deaktiviert werden. Manche Plugins oder Dienste verwenden die Funktion weiterhin. Vor dem Abschalten sollte deshalb geprüft werden, ob technische Abhängigkeiten existieren.

Für viele klassische Firmenwebseiten, lokale Dienstleister oder kleinere Unternehmensseiten ist XML-RPC heute jedoch oft überflüssig geworden. Bei meinen Kundenprojekten achte ich darf das XML-RPC nicht genutzt wird und mehrfach blockiert ist. 

Reicht das Abschalten von XML-RPC allein aus?

Nein.

Das ist ein wichtiger Punkt.

Viele Betreiber konzentrieren sich auf einzelne Sicherheitsfunktionen und übersehen dabei die eigentlichen Risiken. Veraltete Plugins, alte PHP-Versionen, unsichere Themes oder schlecht konfigurierte Server sind häufig deutlich kritischere Schwachstellen als XML-RPC allein.

Eine sichere WordPress Webseite benötigt kontinuierliche Wartung, Sicherheitskontrollen und Monitoring.

Genau dort liegt heute der eigentliche Unterschied zwischen einer gepflegten und einer riskanten WordPress Installation.

Fazit

XML-RPC war früher eine wichtige Schnittstelle für WordPress und hatte einen sinnvollen technischen Zweck. Heute wird die Funktion auf vielen Webseiten jedoch kaum noch benötigt und gleichzeitig regelmäßig für automatisierte Angriffe missbraucht.

Reale Zahlen von Sicherheitsanbietern wie Wordfence zeigen, dass Millionen automatisierter Angriffe gezielt auf:

/xmlrpc.php

abzielen.

Durch die moderne REST API wurden viele frühere XML-RPC-Funktionen längst ersetzt. Für viele WordPress Webseiten ist das Abschalten von XML-RPC deshalb ein sinnvoller Sicherheits-Schritt.

Entscheidend bleibt jedoch die gesamte Wartung der WordPress Infrastruktur. Denn moderne Cyberangriffe nutzen selten nur eine einzelne Schwachstelle. Meist entsteht das eigentliche Risiko erst durch veraltete Systeme, fehlende Sicherheitskontrollen und mangelnde Sichtbarkeit verdächtiger Aktivitäten.

Quellen:

https://blog.cloudflare.com/a-look-at-the-new-wordpress-brute-force-amplification-attack/

https://www.wordfence.com/blog/2017/01/xmlrpc-wp-login-brute-force/