WordPress xmlrpc.php – den angrebsvej de fleste site-ejere ikke kender

Kig i din servers access-log, og du vil sandsynligvis se hundredvis af requests til /xmlrpc.php dagligt. De fleste ejere af WordPress-sider ved ikke hvad det er.

Det er ikke ligegyldigt.

Hvad xmlrpc.php er

XML-RPC er en gammel protokol fra 1998 der tillader programmer at kommunikere med WordPress udefra via HTTP. Det bruges bl.a. af Jetpack, mobil-apps og publiceringsværktøjer til at poste indhold og hente data fra WordPress-installationer.

Filen /xmlrpc.php har eksisteret i WordPress siden begyndelsen og er stadig aktiv by default på alle WordPress-installationer.

Hvad angriberne gør med den

Brute force via multicall:
xmlrpc.php understøtter system.multicall — en funktion der tillader at sende tusindvis af login-forsøg i én enkelt HTTP-request. Mens normale brute force-angreb mod /wp-admin begrænses af rate-limiting, omgår multicall-angreb disse begrænsninger. En enkelt request kan afprøve 500 brugernavn/password-kombinationer.

DDoS amplification:
Din WordPress-installation kan bruges som et led i et DDoS-angreb mod andre mål. Bots sender requests til dit xmlrpc.php der genererer tungere svar — serverressourcer bruges mod sin vilje.

Content injection:
Kompromitterede WordPress-installationer bruger xmlrpc til at poste ondsindet indhold automatisk — som de 125.000 pornografiske links injiceret på en psykologpraksis' side.

Hvad du ser i access-loggen

203.0.113.x - - [18/Mar/2026] "POST /xmlrpc.php HTTP/1.1" 200 -
198.51.100.x - - [18/Mar/2026] "POST /xmlrpc.php HTTP/1.1" 200 -
192.0.2.x - - [18/Mar/2026] "POST /xmlrpc.php HTTP/1.1" 200 -

Hundredvis af disse. Fra forskellige IP-adresser. Hele natten.

Hvad du kan gøre

Deaktiver xmlrpc.php (hvis du ikke bruger det):
De fleste WordPress-sider bruger ikke xmlrpc. Tilføj til .htaccess:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Eller brug et sikkerhedsplugin (Wordfence, iThemes Security) der har en indstilling til at blokere xmlrpc.

Bloker på server-niveau:
Endnu bedre — bloker requests til xmlrpc.php i nginx eller Apache config, inden de overhovedet når WordPress. Det sparer serverressourcer.

Rate limiting:
Cloudflare og andre WAF-løsninger kan rate-limite requests til xmlrpc.php, selv hvis du har brug for at holde den aktiv.

Det bredere billede

xmlrpc.php er ét eksempel på den bredere WordPress-problematik: kompleksitet akkumuleret over årtier. Funktioner der var nødvendige i 2004 er stadig aktiveret by default i 2026 og udgør angrebsvektorer der kræver aktiv konfiguration at fjerne.

Hvert lag af WordPress — plugins, temaer, core-funktioner, xmlrpc, wp-admin, wp-cron — er et potentielt angrebspunkt. At sikre en WordPress-installation er at administrere disse lag løbende.

Hos skipwordpress.com er der ingen xmlrpc.php, ingen wp-admin, ingen wp-cron, ingen plugins. Der er ikke de filer der udgør angrebsvektorerne — fordi vi ikke bruger WordPress.

Ofte stillede spørgsmål

Har jeg xmlrpc.php aktiveret?
Sandsynligvis ja, hvis du kører WordPress. Test ved at besøge dinside.dk/xmlrpc.php. Hvis du ser "XML-RPC server accepts POST requests only" — er den aktiv.

Bruges xmlrpc.php af noget jeg har brug for?
Jetpack bruger det. Ældre WordPress-mobil apps brugte det. De fleste moderne WordPress-installationer har ingen grund til at have det aktiveret. Deaktiver og observer om noget holder op med at virke.

Er det nok at blokere xmlrpc.php for at sikre min WordPress-side?
Nej. Det er ét lag. wp-admin brute force, plugin-sårbarheder og SQL injection er separate vektorer der alle kræver separate tiltag.