WordPress bietet zahlreiche Möglichkeiten zur individuellen Gestaltung und Einstellung von Webseiten. Was viele nicht wissen: Auch Pingbacks und Trackbacks lassen sich deaktivieren. Wir zeigen, wie das geht.
Pingbacks und Trackbacks – was ist das eigentlich?
Die Grundidee von Pingbacks und Trackbacks ist eigentlich eine gute. Ein Pingback erzeugt einen automatischen Hinweis, wenn die eigene Seite auf anderen WordPress-Blogs verlinkt wurde. Gleichzeitig wird diese Seite automatisch auf der eigenen Seite verlinkt, um Usern die Möglichkeit zu geben, weiterführende Informationen leichter finden zu können. Obwohl Pingback und Trackback im Grunde die gleiche Aufgabe erledigen, unterscheiden sich die Systeme doch voneinander.
Ein Pingback wird erzeugt, wenn ein sichtbarer Link zur eigenen Seite auf einer anderen Webseite erstellt wird. Beim Trackback hingegen wird kein sichtbarer Link gesetzt. Die Verlinkung wird nur im Hintergrund im System eingetragen. Somit wird ein Pingback lediglich simuliert.
Genau hier liegt das Problem. Diese Schwachstelle wird gern von Spammern ausgenutzt. So verlinken diese anderen Webseiten gar nicht richtig, sondern senden lediglich Trackbacks, wodurch automatisiert Links zu deren Seiten im eigenen Blog erzeugt werden. Auch werden Pingbacks und Trackbacks gerne genutzt, um Spam in den Kommentaren unterzubringen, was für den Seitenbetreiber einen erheblichen Arbeitsaufwand verursachen kann.
Warum Pingbacks und Trackbacks deaktivieren?
Neben dem Problem des Spams durch Trackbacks und Pingbacks gibt es noch weitere gute Gründe dafür, diese Funktion zu deaktivieren. Ein Großteil der DDoS-Attacken setzen bei der für Trackbacks und Pingbacks zuständigen Datei xmlrpc.php im Rootverzeichnis an. Die WordPress Blogs werden dabei mithilfe des cURL-Befehls über die xmlrpc.php Datei angewählt. Das Ziel dabei ist die Erzeugung eines Pingbacks, wobei die Anwahl mehrfach stattfindet mit dem Versuch, freie Ports zu finden.
Dabei täuschen die Angreifer eine DNS-Adresse vor, sodass der angepingte WordPress-Blog versucht, durch einen Zugriff auf den Port dieser DNS-Adresse zuzugreifen, um einen Pingback hinterlassen zu können. Diese im Grunde nicht sinnvolle Aktion kann von Angreifern für verschiedenste Szenarien genutzt werden, zum Beispiel zum Scannen nach freien Ports mit fremden Ressourcen. Da solche Angriffe meist durch große Botnetze erfolgen, kann durch die hohe Last der gleichzeitigen Zugriffe die eigene Webseite schnell zusammenbrechen und nicht mehr erreichbar sein.
Brauchst du Hilfe bei der Umsetzung?
Möglichkeiten zum Deaktivieren von Pingbacks & Trackbacks
Pingbacks und Trackbacks sind seit WordPress 3.5 automatisch aktiviert. Allerdings gibt es verschiedene Möglichkeiten, diese zu deaktivieren. Eine der einfachsten Möglichkeiten ist, diese direkt in den Einstellungen von WordPress zu deaktivieren. Hierzu ist folgendermaßen vorzugehen:
- Gehe in die Einstellungen Deiner WordPress-Seite.
- Öffne den Menüpunkt „Diskussionen“.
- Entferne den Haken bei dem Punkt „Erlaube Link-Benachrichtigungen von anderen Blogs (Pingbacks und Trackbacks) bei neuen Beiträgen“.
Allerdings gilt diese Deaktivierung von Pingbacks und Trackbacks dann tatsächlich nur für neu erstellte Beiträge. Für bereits bestehende Beiträge bleibt die Möglichkeit der Pingbacks und Tracksbacks weiterhin aktiviert.
Wurde die Kommentarfunktion von WordPress unter Deinen Beiträgen zum Setzen von Pingbacks oder Trackbacks verwendet, so kannst Du diese entfernen, indem Du die betreffenden Kommentare löschst. Je nach Anzahl der Kommentare kann dies allerdings eine sehr mühevolle Aufgabe sein.
Pingbacks und Trackbacks deaktivieren mit SQL
Um auch alle bereits vorhandenen Pingbacks deaktivieren zu können, gehst Du folgendermaßen vor:
- Öffne phpmyadmin
- Navigiere zum SQL-Bereich
- Gib hier den Befehl: UPDATE wp_posts SET ping_status=“closed“; ein.
- Durch die Eingabe werden alle vorhandenen Pingbacks geschlossen.
Pingbacks deaktivieren mit der Functions PHP
Die Deaktivierung von Pingbacks und Trackbacks kann auch über das Einfügen eines Code-Snippets in den WordPress-Designdateien erfolgen. Dazu öffnest Du die functions.php Deines WordPress-Themes und fügst dort folgenden Code ein:
function remove_self_pings(&$links) { $home = get_option('home'); foreach ($links as $l => $link) { if (0 === strpos($link, $home)) { unset($links); } } } add_action('pre_ping', 'remove_self_pings');
Durch das Einfügen des Code-Snippets werden Pingbacks auf Deiner WordPress-Seite deaktiviert.
Plugins
Auch mithilfe von Plug-ins können Trackbacks und Pingbacks deaktiviert werden. Diese sind:
- No Self Pings Plug-in
- Disabler Plug-in
- Akismet
- Disable Comments
- Ninjafirewall
Das No Self Pings Plug-in muss einfach installiert und im Backend Deiner WordPress-Seite aktiviert werden. Weitere Einstellungen sind nicht erforderlich. Sobald das Plug-in aktiviert ist, werden Self-Pings deaktiviert.
Auch mit dem Disabler Plug-in kannst Du Pingbacks und Trackbacks in WordPress deaktivieren. Installiere und aktiviere dazu zunächst das Plug-in im Backend Deiner WordPress-Seite. Anschließend öffnest Du in den Einstellungen den Punkt „Deaktivieren“, um die gewünschten Einstellungen vorzunehmen. Hier setzt Du den Haken bei „Disable self pings (i.e. trackbacks/pings from your own domain).
Anschließend drückst Du auf den Speichern-Button, um die Änderungen der Einstellungen und damit die Deaktivierung von Trackbacks und Pingbacks zu speichern. Mit dem Plug-in lassen sich auch zahlreiche weitere WordPress-Funktionen deaktivieren.
Du hast die Umsetzung nicht geschafft?