XML-RPC est une des fonctionnalités de base ayant été lancé initialement avec WordPress. Il s’agit d’un protocole permettant à WordPress de communiquer avec des systèmes externes. Cette fonctionnalité permet aussi aux utilisateurs de WordPress d’interagir avec leurs sites en utilisant des appareils mobiles. Outre ces avantages, xmlrpc.php est aujourd’hui un point de vulnérabilités de sécurité pour les sites web déployés avec WordPress.🤔
La sécurité étant une priorité, il est fortement conseillé désactiver la fonctionnalité xmlrpc.php sur votre site.😇
Objectif
Cet article vous donne des détails sur la fonctionnalité XML-RPC de WordPress, le risque qu’il couvre pour votre site et la façon de le désactiver. Suivez ce tutoriel jusqu’à la fin et vous pourrez désactiver cette fonctionnalité sur votre site sans faire appel à une intervention extérieure.😊
Prérequis
Pour suivre ce tutoriel, il vous suffit de pouvoir accéder au tableau de bord de votre site en tant qu’administrateur et d’être capable d’installer un plugin sur WordPress.
Besoin d’un hébergement WordPress rapide et de qualité ?
LWS vous conseille sa formule d’hébergement WordPress en promotion à -20% (offre à partir de 3,99€ par mois au lieu de 4,99 €). Non seulement les performances sont au rendez-vous mais vous profitez en plus d’un support exceptionnel.
Qu’est-ce que le fichier xmlrpc.php ?
WordPress fait parfois appel à des logiciels externes pour son bon fonctionnement. Jusqu’à la version 3.5, xmlrpc.php était nécessaire pour cette communication avant d’être remplacé par l’API REST WordPress dans les versions supérieures. Il permet spécifiquement de :
- Rédiger un article à partir d’une application externe à WordPress tel que Windows Live Writer et de l’intégrer directement à votre site ;
- Utiliser l’application WordPress mobile : avec cette fonctionnalité, vous pouvez accéder au tableau de bord WordPress à partir d’un appareil mobile ;
- Activer les pingbacks et trackbacks : XML-RPC était nécessaire pour activer les fonctions de rétroliens sur votre site. Les rétroliens sont des notifications que WordPress envoie à votre site lorsqu’une publication externe pointe vers votre blog ;
- Certains plugins WordPress, notamment Jetpack et BuddyPress, utilisent encore XML-RPC pour gérer certaines de leurs fonctionnalités. Par exemple, Jetpack fait appel à xmlrpc.php afin de connecter un site WordPress auto-hébergé sur WordPress.com.
À partir de la version 2.6 de WordPress, il était possible pour les utilisateurs de WordPress d’activer ou de désactiver la fonctionnalité xmlrpc.php.
Cependant, à partir de la version 3.5, la fonctionnalité est activée par défaut lorsque vous installez WordPress sur votre espace d’hébergement et aucune option ne vous permet de la désactiver.
Pourquoi désactiver XML-RPC sur votre site WordPress ?
De plus, la nouvelle API de WordPress est beaucoup plus puissante et permet à WordPress d’interagir avec beaucoup de systèmes externes et en toute sécurité. Si vous utilisez une version supérieure à la version 3.5 de WordPress, vous devez désactiver la fonctionnalité xmlrpc.php.
Cette recommandation est utile pour lutter contre certaines vulnérabilités de sécurité :
1. Protéger votre site contre les attaques DDoS
XML-RPC permet d’activer les rétroliens sur votre site. Lorsque xmlrpc.php est activée sur votre site, vous recevez une notification chaque fois qu’une page web externe pointe vers votre blog.
Mais, cela rend votre site vulnérable aux attaques DDoS (Déni de Service). Cette attaque consiste à envoyer un nombre important de requêtes à un service web dans un petit intervalle de temps afin de surcharger le serveur et de rendre le service indisponible.
Si XML-RPC est activé sur votre site, un pirate peut envoyer un grand nombre de rétroliens dans un temps relativement court à votre site. Ce qui peut surcharger votre serveur et rendre votre site inaccessible en ligne.
2. Limiter les attaques par force brute
Vous devez aussi désactiver le xmlrpc.php pour lutter contre les attaques par force brute. En fait, dans une attaque par force brute, l’attaquant tente des milliers de combinaisons de vos coordonnées d’accès (Identifiant, mot de passe) afin de trouver la bonne combinaison et accéder à votre site.
La nouvelle API REST de WordPress envoie uniquement des jetons d’authentification lors d’une requête au serveur. Par contre, le protocole XML-RPC envoie pour son authentification votre mot de passe et votre identifiant, et cela, à chaque demande exécutée. Avec cette vulnérabilité, des pirates peuvent utiliser des milliers de combinaisons en peu de temps avec une chance de trouver des bonnes coordonnées.
Si les attaquants accèdent à votre site, ils peuvent y injecter du contenu malveillant, modifier votre code ou encore supprimer vos données. Et la manière la plus efficace de prévenir une éventuelle attaque consiste à désactiver simplement XML-RPC.
Comment désactiver XML-RPC sur WordPress ?
Comme nous l’avons dit plus haut, les fonctionnalités exécutées auparavant avec XML-RPC sont maintenant exécutées par l’API REST de WordPress. Si vous utilisez une version à jour de WordPress, la désactivation de xmlrpc.php n’aura pas de retentissement sur le fonctionnement de votre site.
Mais avant cela, vous devez vérifier si elle est activée sur votre site en utilisant l’outil de vérification de XML-RPC.
Dans l’éventualité où XML-RPC est activé, notez que vous pouvez le désactiver en utilisant deux méthodes ci-dessous :
Méthode 1 : désactiver XML-RPC en utilisant un plugin
L’utilisation d’un plugin vous donne plus de flexibilité dans la manière de gérer la fonctionnalité xmlrpc.php sur votre site WordPress. Si vous êtes débutant, nous vous recommandons d’utiliser cette méthode.
Pour ce faire, connectez-vous à votre espace d’administration et accédez à la section « Extensions › ajouter ».
Par ailleurs, si vous envisagez de désactiver certains aspects de la fonctionnalité uniquement, il existe un autre plugin plus intéressant pour cela. Rendez-vous dans le répertoire des extensions WordPress et installez le plugin Disable XML-RPC-API.
Méthode 2 : désactiver XML-RPC via le fichier .htaccess
La deuxième méthode permet de désactiver le XML-RPC en utilisant du code. Vous pouvez utiliser cette démarche si vous avez des compétences techniques nécessaires.
Trucs et astuces
Si vous hébergez votre site chez LWS, alors vous bénéficiez de sauvegardes journalières gratuites accessibles depuis votre espace client LWS Panel.
Ensuite, vous devez accéder aux fichiers d’installation de votre site en utilisant un client FTP tel que FileZilla.
Trucs et astuces
Si vous êtes un client de LWS, vous pouvez utiliser votre outil FileManager LWS Panel ou gestionnaire de fichiers cPanel.
Une fois que vous êtes connecté à votre serveur, recherchez le fichier .htaccess. Il se trouve à la racine de votre site (public_html ou www).
Ensuite, faites un clic droit dessus et choisissez l’option « Edit ».
<Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
Enregistrez vos modifications et c’est tout !
Conclusion
🥳 Félicitations ! La désactivation de la fonctionnalité xmlrpc.php WordPress peut vous aider à protéger votre site contre les attaques DDoS et les attaques par force brute. Dans cet article, nous avons détaillé les deux méthodes que vous pouvez utiliser. Il ne vous reste qu’à passer à l’action et protéger votre site dès aujourd’hui.
Avez-vous des problèmes avec la désactivation de la fonctionnalité XML-RPC sur votre site ? Utilisez la section Commentaires pour obtenir de l’aide.