XML-RPC wordt gebruikt binnen WordPress om communicatie tussen WordPress en andere systemen mogelijk te maken. Dit bestaat al voor het ontstaan van WordPress in 2003 en zou vandaag de dag niet meer gebruikt moeten worden. Er zijn inmiddels genoeg andere (veel veiligere) manieren voor deze communicatie.
XML-RPC brengt de nodige veiligheidsrisico’s met zich mee. Het uitschakelen ervan, komt ten goede van de veiligheid van jouw WordPress website.
Doordat elk verzoek via xmlrpc.php wordt verzonden inclusief een gebruikersnaam en wachtwoord is het voor hackers mogelijk om eenvoudig brute-force aanvallen uit te voeren op je website. Naast het risico dat zij de juiste gegevens krijgen en je website kunnen binnendringen, levert dit ook nog eens een hoge load op wat kan leiden tot een zeer trage website.
Verder kan XML-RPC ook misbruikt worden om DDoS-aanvallen te starten door de zogenoemde pingback en trackback functionaliteiten.
Wij hebben besloten om XML-RPC standaard te blokkeren voor onze shared hosting servers met ingang van 01-03-2022.