XML-RPC ist eine ältere Schnittstelle in WordPress, die ursprünglich für die Fernsteuerung über Apps entwickelt wurde. Heute wird sie kaum noch benötigt – ist aber ein häufiges Ziel für Brute-Force-Angriffe.
Warum XML-RPC blockieren?
Über die Datei xmlrpc.php können Angreifer viele Passwort-Versuche gleichzeitig abschicken, ohne auf die üblichen Login-Limits zu stoßen. Wenn du keine App wie die offizielle WordPress-App nutzt, kannst du die Schnittstelle bedenkenlos sperren.
Über das Plesk WP Toolkit blockieren (empfohlen)
Plesk bietet diese Option direkt im WordPress Toolkit an – kein manuelles Bearbeiten von Dateien nötig:
Gehe im linken Menü zu WordPress.
Klicke bei deiner WordPress-Installation auf Sicherheit.
Aktiviere die Option „Schutz gegen XML-RPC-Angriffe" (bzw. „Disable XML-RPC").
Klicke auf Anwenden.
Alternativ: über .htaccess blockieren
Falls du das WP Toolkit nicht nutzt, kannst du den Zugriff auch manuell über die .htaccess im Wurzelverzeichnis deiner WordPress-Installation sperren:
# XML-RPC blockieren
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>Die .htaccess kannst du über den Dateimanager in Plesk bearbeiten.
Wann sollte ich XML-RPC nicht blockieren?
Du verwendest die offizielle WordPress-App auf deinem Smartphone.
Du nutzt einen Dienst, der explizit XML-RPC benötigt (z. B. manche Jetpack-Funktionen).
Im Zweifelsfall: Blockieren, testen, und bei Problemen wieder freischalten.