XML-RPC est une interface distante pour WordPress qui permet à des applications tierces d’interagir avec votre site web. Bien qu’elle puisse être utile pour certaines fonctionnalités, XML-RPC peut également être une source de failles de sécurité si elle n’est pas correctement configurée.
Qu'est-ce que le protocole Xmlrpc.php ?
XML-RPC (XML Remote Procedure Call) est un protocole qui permet à des applications de communiquer entre elles en utilisant des requêtes XML. Dans le contexte de WordPress, le fichier xmlrpc.php permet aux applications externes d’appeler des fonctions WordPress, telles que la publication d’articles ou la modification d’utilisateurs.
Pourquoi désactiver Xmlrpc.php ?
La désactivation de XML-RPC présente plusieurs avantages :
- Amélioration de la sécurité: XML-RPC peut être utilisé pour lancer des attaques par force brute ou par déni de service (DDoS). En désactivant XML-RPC, vous réduisez le risque de ces attaques.
- Simplification de la maintenance: Si vous n’utilisez pas XML-RPC, il est préférable de le désactiver pour simplifier la maintenance de votre site WordPress.
- Réduction de la surface d’attaque: Moins il y a de fonctionnalités activées sur votre site WordPress, moins il y a de points d’entrée potentiels pour les pirates.
Comment désactiver Xmlrpc.php dans WordPress
Il existe deux manières principales de désactiver XML-RPC dans WordPress :
1. Utilisation d’un plugin
Plusieurs plugins WordPress permettent de désactiver XML-RPC en un clic. Deux des plugins les plus populaires sont :
- Disable XML-RPC: Ce plugin simple désactive simplement XML-RPC.
- Disable XML-RPC-API: Ce plugin offre plus d’options, telles que la possibilité de désactiver XML-RPC pour certains utilisateurs ou rôles (Préférez cette deuxième option beaucoup plus efficace).
2. Modification du fichier .htaccess
Attention : Modifier le fichier .htaccess peut entraîner des problèmes si vous n’êtes pas prudent. Il est important de faire une sauvegarde de votre fichier .htaccess avant d’y apporter des modifications.
Si vous décidez de modifier votre fichier .htaccess pour désactiver XML-RPC, veuillez suivre ces étapes :
- Connectez-vous à votre site WordPress en utilisant un client FTP ou un gestionnaire de fichiers.
- Localisez le fichier .htaccess dans le répertoire racine de votre site WordPress.
- Faites une copie du fichier .htaccess et enregistrez-la en lieu sûr.
- Ouvrez le fichier .htaccess dans un éditeur de texte.
- Ajoutez le code suivant à la fin du fichier :
AddHandler application/xmlrpc php-cgi xmlrpc.php
- Enregistrez le fichier .htaccess et fermez-le.
- Téléchargez le fichier .htaccess modifié sur votre serveur.
Une fois que vous avez ajouté ce code à votre fichier .htaccess, XML-RPC devrait être désactivé sur votre site WordPress.
Comment vérifier que XML-RPC que est bien désactivé
Pour vérifier si le protocole XML-RPC est désactivé sur un site WordPress, il suffit d’accéder au site via un navigateur et d’ajouter « /xmlrpc.php » à la fin de l’URL du domaine. Si un message d’erreur s’affiche indiquant que le site est inaccessible, cela signifie que la fonction XML-RPC est bien désactivée. Vous pouvez également vous rendre sur ce site https://xmlrpc.blog est entrer l’adresse de votre site web et cliquez sur Check. L’erreur 404 signale que la ressource demandée, n’a pas été trouvée.
Conclusion
La désactivation de XML-RPC est un moyen simple d’améliorer la sécurité de votre site WordPress. Si vous n’utilisez pas cette fonctionnalité, nous vous recommandons de la désactiver dès que possible.
Si vous utilisez une application tierce qui nécessite XML-RPC, vous ne pourrez pas la désactiver. Dans ce cas, vous devez vous assurer que l’application est fiable et que ses paramètres de sécurité sont correctement configurés.
En suivant ces conseils, vous pouvez vous assurer que votre site WordPress est plus sûr et plus performant.