• Sök domän

  • Loading
  • Stäng

Blockerar ni xmlrpc.php?

Ja, vi blockerar regelmässigt all trafik till xmlrpc.php. I denna artikel kan du läsa mer om vad xmlrpc.php är och varför vi blockerar den.

Vad är xmlrpc.php?

Filen xmlrpc.php förekommer i alla WordPress-installationer och har historiskt använts för att andra system (exempelvis mobilappar och andra publiceringsverktyg) skulle kunna interagera med Wordpress. Själva protokollet XML-RPC är äldre än Wordpress, och det implementerades i Wordpress i ett tidigt skede.

Från och med Wordpress 3.5 har XML-RPC varit aktivt som standard (i tidigare versioner fanns XML-RPC, men man var tvungen att aktivera det manuellt i Wordpress för att kunna använda det).


Varför blockerar ni xmlrpc.php?

Även om xmlrpc.php historiskt har medfört många fördelar är det i dagsläget mest att betrakta som en stor säkerhetsrisk. De funktioner som tidigare har krävt xmlrpc.php kan numera istället använda REST API som implementerats i Wordpress.

Den begränsade nyttan kombinerat med säkerhetsriskerna är orsaken till att vi valt att blockera xmlrpc.php.

Bruteforce-attacker via xmlrpc.php

Varje gång xmlrpc.php anropas skickas det med användarnamn och lösenord. Detta är en öppning för att skicka en stor mängd anrop till xmlrpc.php för att testa sig fram till fungerande inloggningsuppgifter och på så sätt få tillgång till WordPress.

DDos-attacker via xmlrpc.php

Även i DDos-attacker (överbelasningsattacker) används xmlrpc.php frekvent. I dessa fall används funktoinerna för trackbacks och pingbacks i Wordpress för att skicka en enorm mängd anrop på kort tid och på så sätt orsaka överbelastning.


Vad gör jag om jag behöver använda xmlrpc.php?

Modernare versioner av WordPress har inbygt stöd för REST API, som är betydligt mer kompetent och säkrare än xmlrpc.php. I första hand bör alltså REST API användas istället för xmlrpc.php.

Om du av någon anledning abslout måste använda xmlrpc.php kan du kontakta oss och förklara varför du har ett absolut behov av detta. Vi gör därefter en bedömning och kan, om det anses motiverat, tillåta xmlrpc.php.

Om du kan begränsa så att xmlrpc.php enbart behöver tillåtas från en eller ett fåtal IP-adresser ber vi dig nämna detta, eftersom det i så fall markant ökar våra möjligheter att aktivera xmlrpc.php

 



Alla priser angivna exklusive moms.