Aktuell geht es wieder um das diverse Spambots WordPress besuchen und Spam hinterlassen möchten. Jetzt ist oft die per Standard aktivierte XMLRPC Schnittstelle von WordPress das Ziel. Die Spambots sind teilweise so aggressiv und versuchen so viele Posts pro Sekunde abzusetzen das sie viele WordPress Installationen aus dem Schritt bringen können. Vor allem wenn euer WordPress bereits von Spam vorbelastet ist und sich schon viele Spam Kommentare in der Datenbank befinden setzen die Bots WordPress außer Gefecht indem sie das System überlasten. Zum einem das bereits installierte Spam Plugins zu tun bekommen, auf der anderen Seite wird auch die mySQL Datenbank auf Trab gehalten.

Wer jetzt noch mehr Plugins installiert um Spam abzuwehren macht es oft noch schlimmer, da die von WP erzeugte Last noch weiter steigt. Auch Plugins welche es ermöglichen die XMLRPC Schnittstelle zu deaktivieren helfen dann meist nicht mehr. Das Problem: Bereits der Versuch an die xmlrpc.php zu posten lädt das WordPress System, Plugins, Datenbank usw.

Der sichere Weg um Ruhe zu haben: Sperrt solange wie notwendig alle Zugriffe zur xmlrpc.php komplett aus. Dazu fügt ihr in der .htaccess Datei in eurem WordPress am Ende die folgende Zeile ein:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Somit lässt bereits der Webserver den Zugriff nicht zu, WordPress, Datenbank, php etc. werden gar nicht erst benutzt.
Das System wird wieder stabilisiert so das ihr dann in Ruhe den Spam entfernen könnt und weitere Maßnahmen ergreifen könnt.

Alternativ kann auch eine 403 Fehlermeldung ausgegeben werden:
<IfModule mod_alias.c>
RedirectMatch 403 /xmlrpc.php
</IfModule>