Partager le lien de l'article

22mn de lecture

XML-RPC WordPress (xmlprc.php) : pourquoi et comment le désactiver ?

21 octobre 2022

XML-RPC WordPress (xmlprc.php) : pourquoi et comment le désactiver ?

XML-RPC est une des fonctionnalités de base ayant été lancé initialement avec WordPress. Il s’agit d’un protocole permettant à WordPress de communiquer avec des systèmes externes. Cette fonctionnalité permet aussi aux utilisateurs de WordPress d’interagir avec leurs sites en utilisant des appareils mobiles. Outre ces avantages, xmlrpc.php est aujourd’hui un point de vulnérabilités de sécurité pour les sites web déployés avec WordPress.🤔

Contenus masquer

1 Objectif

2 Prérequis

3 Qu’est-ce que le fichier xmlrpc.php ?

4 Pourquoi désactiver XML-RPC sur votre site WordPress ?

4.1 1. Protéger votre site contre les attaques DDoS

4.2 2. Limiter les attaques par force brute

5 Comment désactiver XML-RPC sur WordPress ?

5.1 Méthode 1 : désactiver XML-RPC en utilisant un plugin

5.2 Méthode 2 : désactiver XML-RPC via le fichier .htaccess

6 Conclusion

La sécurité étant une priorité, il est fortement conseillé désactiver la fonctionnalité xmlrpc.php sur votre site.😇

Objectif

Cet article vous donne des détails sur la fonctionnalité XML-RPC de WordPress, le risque qu’il couvre pour votre site et la façon de le désactiver. Suivez ce tutoriel jusqu’à la fin et vous pourrez désactiver cette fonctionnalité sur votre site sans faire appel à une intervention extérieure.😊

Prérequis

Pour suivre ce tutoriel, il vous suffit de pouvoir accéder au tableau de bord de votre site en tant qu’administrateur et d’être capable d’installer un plugin sur WordPress.

Besoin d’un hébergement WordPress rapide et de qualité ?

LWS vous conseille sa formule d’hébergement WordPress en promotion à -20% (offre à partir de 3,99€ par mois au lieu de 4,99 €). Non seulement les performances sont au rendez-vous mais vous profitez en plus d’un support exceptionnel.

Découvrir l’offre

Qu’est-ce que le fichier xmlrpc.php ?

XML-RPC xmlrpc.php WordPress XML-RPC est une fonctionnalité native WordPress. Cette dernière permet à WordPress de communiquer avec des systèmes externes en utilisant HTTP comme protocole de transport et XML comme mécanisme d’encodage.

WordPress fait parfois appel à des logiciels externes pour son bon fonctionnement. Jusqu’à la version 3.5, xmlrpc.php était nécessaire pour cette communication avant d’être remplacé par l’API REST WordPress dans les versions supérieures. Il permet spécifiquement de :

Rédiger un article à partir d’une application externe à WordPress tel que Windows Live Writer et de l’intégrer directement à votre site ;
Utiliser l’application WordPress mobile : avec cette fonctionnalité, vous pouvez accéder au tableau de bord WordPress à partir d’un appareil mobile ;
Activer les pingbacks et trackbacks : XML-RPC était nécessaire pour activer les fonctions de rétroliens sur votre site. Les rétroliens sont des notifications que WordPress envoie à votre site lorsqu’une publication externe pointe vers votre blog ;
Certains plugins WordPress, notamment Jetpack et BuddyPress, utilisent encore XML-RPC pour gérer certaines de leurs fonctionnalités. Par exemple, Jetpack fait appel à xmlrpc.php afin de connecter un site WordPress auto-hébergé sur WordPress.com.

À partir de la version 2.6 de WordPress, il était possible pour les utilisateurs de WordPress d’activer ou de désactiver la fonctionnalité xmlrpc.php.

Cependant, à partir de la version 3.5, la fonctionnalité est activée par défaut lorsque vous installez WordPress sur votre espace d’hébergement et aucune option ne vous permet de la désactiver.

Pourquoi désactiver XML-RPC sur votre site WordPress ?

désactiver la fonctionnalité XML-RPC xmlrpc.php WordPress Actuellement, XML-RPC a perdu toute son utilité avec la création de l’API REST de WordPress. Cette nouvelle API permet d’exécuter presque toutes les fonctionnalités régies auparavant par xmlrpc.php.

De plus, la nouvelle API de WordPress est beaucoup plus puissante et permet à WordPress d’interagir avec beaucoup de systèmes externes et en toute sécurité. Si vous utilisez une version supérieure à la version 3.5 de WordPress, vous devez désactiver la fonctionnalité xmlrpc.php.

Cette recommandation est utile pour lutter contre certaines vulnérabilités de sécurité :

1. Protéger votre site contre les attaques DDoS

XML-RPC permet d’activer les rétroliens sur votre site. Lorsque xmlrpc.php est activée sur votre site, vous recevez une notification chaque fois qu’une page web externe pointe vers votre blog.

Mais, cela rend votre site vulnérable aux attaques DDoS (Déni de Service). Cette attaque consiste à envoyer un nombre important de requêtes à un service web dans un petit intervalle de temps afin de surcharger le serveur et de rendre le service indisponible.

Si XML-RPC est activé sur votre site, un pirate peut envoyer un grand nombre de rétroliens dans un temps relativement court à votre site. Ce qui peut surcharger votre serveur et rendre votre site inaccessible en ligne.

2. Limiter les attaques par force brute

Vous devez aussi désactiver le xmlrpc.php pour lutter contre les attaques par force brute. En fait, dans une attaque par force brute, l’attaquant tente des milliers de combinaisons de vos coordonnées d’accès (Identifiant, mot de passe) afin de trouver la bonne combinaison et accéder à votre site.

La nouvelle API REST de WordPress envoie uniquement des jetons d’authentification lors d’une requête au serveur. Par contre, le protocole XML-RPC envoie pour son authentification votre mot de passe et votre identifiant, et cela, à chaque demande exécutée. Avec cette vulnérabilité, des pirates peuvent utiliser des milliers de combinaisons en peu de temps avec une chance de trouver des bonnes coordonnées.

Si les attaquants accèdent à votre site, ils peuvent y injecter du contenu malveillant, modifier votre code ou encore supprimer vos données. Et la manière la plus efficace de prévenir une éventuelle attaque consiste à désactiver simplement XML-RPC.

Comment désactiver XML-RPC sur WordPress ?

Comme nous l’avons dit plus haut, les fonctionnalités exécutées auparavant avec XML-RPC sont maintenant exécutées par l’API REST de WordPress. Si vous utilisez une version à jour de WordPress, la désactivation de xmlrpc.php n’aura pas de retentissement sur le fonctionnement de votre site.

Mais avant cela, vous devez vérifier si elle est activée sur votre site en utilisant l’outil de vérification de XML-RPC. XML-RPC Validator Il suffit d’entrer l’URL de votre site pour exécuter le test. Ensuite, l’outil peut vous indiquer si XML-RPC est activé ou désactivé.

Dans l’éventualité où XML-RPC est activé, notez que vous pouvez le désactiver en utilisant deux méthodes ci-dessous :

Méthode 1 : désactiver XML-RPC en utilisant un plugin

L’utilisation d’un plugin vous donne plus de flexibilité dans la manière de gérer la fonctionnalité xmlrpc.php sur votre site WordPress. Si vous êtes débutant, nous vous recommandons d’utiliser cette méthode.

Pour ce faire, connectez-vous à votre espace d’administration et accédez à la section « Extensions › ajouter ». Extensions/ajouter Dans l’interface résultante, utilisez la barre de recherche et recherchez le plugin Disable XML-RPC. Une fois que vous l’avez trouvé, cliquez sur le bouton « Installer maintenant ». Installer le plugin Disable XML-RPC Après l’installation et l’activation, XML-RPC sera automatiquement désactivé sur votre site.

Par ailleurs, si vous envisagez de désactiver certains aspects de la fonctionnalité uniquement, il existe un autre plugin plus intéressant pour cela. Rendez-vous dans le répertoire des extensions WordPress et installez le plugin Disable XML-RPC-API. Après l’installation et l’activation, accédez à la section « XML-RPC Security › XML-RPC Settings ». configurer le plugin XML-RPC Vous serez redirigé vers une nouvelle interface où vous avez la possibilité de désactiver l’exécution de XML-RPC sur certaines parties de votre site. Vous avez également la possibilité de restreindre l’accès à une plage d’adresse IP déterminées. désactiver partiellement la fonctionnalité XML-RPC Une fois que vous avez terminé, enregistrez vos modifications.

Méthode 2 : désactiver XML-RPC via le fichier .htaccess

La deuxième méthode permet de désactiver le XML-RPC en utilisant du code. Vous pouvez utiliser cette démarche si vous avez des compétences techniques nécessaires.

Avant de continuer, faites une sauvegarde de votre site. La modification du code dans WordPress peut générer. Ainsi, vous utiliserez cette copie originale afin de faire restauration en cas de problème.

Trucs et astuces

Si vous hébergez votre site chez LWS, alors vous bénéficiez de sauvegardes journalières gratuites accessibles depuis votre espace client LWS Panel.

Ensuite, vous devez accéder aux fichiers d’installation de votre site en utilisant un client FTP tel que FileZilla.

Trucs et astuces

Si vous êtes un client de LWS, vous pouvez utiliser votre outil FileManager LWS Panel ou gestionnaire de fichiers cPanel.

Une fois que vous êtes connecté à votre serveur, recherchez le fichier .htaccess. Il se trouve à la racine de votre site (public_html ou www).

Ensuite, faites un clic droit dessus et choisissez l’option « Edit ». modifier le fichier .htaccess Le fichier sera ouvert aux modifications dans une nouvelle interface. Ajoutez le code ci-dessous :

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

Enregistrez vos modifications et c’est tout !

Conclusion

🥳 Félicitations ! La désactivation de la fonctionnalité xmlrpc.php WordPress peut vous aider à protéger votre site contre les attaques DDoS et les attaques par force brute. Dans cet article, nous avons détaillé les deux méthodes que vous pouvez utiliser. Il ne vous reste qu’à passer à l’action et protéger votre site dès aujourd’hui.

Avez-vous des problèmes avec la désactivation de la fonctionnalité XML-RPC sur votre site ? Utilisez la section Commentaires pour obtenir de l’aide.

Auteur de l'article

Joseph

Bonjour, je m'appelle Joseph. Je suis rédacteur spécialisé dans WordPress, PrestaShop et d'autres CMS. Fort d'une expertise approfondie en PHP et MySQL, je partage mes connaissances à travers des tutoriels simples et accessibles. Passionné par le développement et la transmission de savoir, j'aime expliquer et rendre les concepts techniques compréhensibles pour tous

Autres tutoriels similaires WordPress

WordPress pour entreprise : Créer un site d'entreprise avec WordPress

WordPress

20mn

Créer un site avec le thème WordPress Twenty Twenty-Four

WordPress

20mn

Comment créer un site one page WordPress ? Thèmes one page WordPress gratuits

WordPress

20mn

Comment dépublier un site WordPress et des pages ou articles ?

WordPress

20mn

Avis client de l'hébergeur LWS

30/04/2022

LWS l'hébergeur par excellence !

LWS est pour moi l'hébergeur par excellence, que cela soit au niveau de l'hébergement qui est très performant, les mails qui sont d'une qualité professionnelle et de la gestion du domaine facile à comprendre.

PauseGreen

27/04/2022

Super, au top !

Au top, prix attractif. Service très rapide et réactif. Je l'ai même personnellement recommandé à des proches. La vie est bien plus facile avec LWS

Masset Eliot

26/04/2022

Support

Clair, efficace, rapide et à tarif abordable. J'ai maintenant un site superbe à mon image, puisque je le fais moi-même. L'équipe technique est au top, j'ai une réponse en 20 minutes, cela change d'autres hébergeurs pourtant plus connu.

Lady Whip

24/04/2022

Bravo et merci

Bravo et merci aux équipes techniques pour leur réactivité et leur professionnalisme depuis plus de 10 ans chez eux et de nombreux sites !!! Merci

Olivier Delmas

23/04/2022

Je suis très satisfait.

J'ai commandé un hébergement pour le site d'une association. Tout s'est passé très rapidement et sans la moindre embuche. La tarification est attractive et me parait très claire. Le panneau d'administration de l'hébergement est facile à utiliser et à comprendre. Je n'ai pas encore installé Wordpress car le contenu n'est pas prêt mais ce sera la prochaine étape et je suis très confiant. Merci !

Pierre-André Liné

20/04/2022

Un service technique excellent

Je suis client chez LWS depuis 2011 avec une boutique OSCommerce qui tourne comme une horloge depuis cette date sur un hébergement mutualisé. La disponibilité de la boutique est très proche de 100%. Concernant les rares problèmes rencontrés en huit ans, j’ai eu à chaque fois un technicien compétent qui a résolu le problème très rapidement et efficacement. Je suis en train de migrer sur une plateforme Pretashop sur un VPS, avec l’offre LWS Debian 9 et Prestashop. Un technicien m’a grandement aidé pour finaliser l’installation de la boutique lors de la mise à jour vers la dernière version de Prestashop 1.7 qui posait problème. Je suis très satisfait de LWS, et ce sur la durée : réponses et réactions rapides et efficaces. Je recommande cet hébergeur et encore merci.

Alain

16/04/2022

Une expérience jamais égalée !

Étant Développeur Web & Mobile Full-Stack depuis plus de 5 ans déjà, j'ai rarement eu un service client aussi rapide et efficace. Sans compter la qualité du service en ligne. Je recommande VIVEMENT LWS !

Chris KOUAKAM

12/04/2022

Très bon hébergeur

J'ai un serveur VPS chez eux et je n'ai aucun problème, dès qu'il y a un problème le service technique est la pour vous aider et répond assez rapidement à votre demande. Je recommande vivement cet hébergeur.

Vanden Cruyce

09/04/2022

Je suis ravie

Je suis ravie d'être avec LWS sur tous les plans, je remercie les Techniciens (Fabrice, Omar, Sandy-Mahitsison) depuis plus de 8 ans j'ai évolué avec LWS et toujours soutenue. Une véritable relation humaine même si les questions ou nos inquiétudes ne correspondent pas à leurs missions, ils sont là pour nous répondent et nous rassurent. Mon site c'est mon travail ma source de revenue donc il sont mes partenaires ! les travailleurs de l'ombre merci à eux ! Merci LWS

L'atelier-and-Co

Commentaires (0)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.