Le protocole XML-RPC de WordPress permet aux applications externes d’interagir avec votre site, par exemple pour publier des articles ou gérer des contenus à distance. Cependant, il peut aussi représenter un risque pour la sécurité de votre site. Savoir comment désactiver XML-RPC peut aider à réduire les risques d’attaques et à améliorer la sécurité de votre site WordPress.
Pourquoi Désactiver XML-RPC ?
Sécurité
XML-RPC a été historiquement une cible pour les attaques par force brute, permettant aux pirates de tenter des milliers de combinaisons de noms d’utilisateur et de mots de passe en une seule requête. En désactivant XML-RPC, vous limitez cette menace en empêchant l’accès à cette fonctionnalité, réduisant ainsi le risque d’attaques par force brute.
Performances
XML-RPC consomme des ressources serveur lorsqu’il est sollicité, notamment lors de tentatives d’attaques massives. Ces sollicitations répétées peuvent ralentir votre site, affectant ainsi l’expérience des utilisateurs légitimes. En désactivant XML-RPC, vous réduisez la charge sur votre serveur, améliorant ainsi la performance globale de votre site.
Utilité limitée
Pour la plupart des utilisateurs, les fonctionnalités offertes par XML-RPC ne sont plus nécessaires, notamment avec l’avènement de l’API REST, qui est plus sécurisée et performante. À moins que vous ne dépendiez d’applications externes spécifiques nécessitant XML-RPC, il est généralement conseillé de le désactiver.
Désactiver XML-RPC via le fichier functions.php
Pour désactiver complètement XML-RPC, vous pouvez ajouter le code suivant dans le fichier functions.php de votre thème enfant ou dans un plugin spécifique au site :
add_filter('xmlrpc_enabled', '__return_false');
Ce code désactive entièrement l’accès à XML-RPC sur votre site WordPress, bloquant toutes les requêtes entrantes.
Désactiver XML-RPC via le fichier .htaccess
Une autre méthode pour désactiver XML-RPC consiste à utiliser le fichier .htaccess, particulièrement utile si vous ne souhaitez pas modifier le code de votre site ou utiliser de plugin et si vous utilisez Apache.
Voici comment procéder :
Accédez à la racine de votre site WordPress via FTP ou un gestionnaire de fichiers.
Recherchez le fichier .htaccess. S’il n’existe pas, créez-le.
Ajoutez le code suivant à la fin du fichier .htaccess :
apache
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
Ce code bloque l’accès au fichier xmlrpc.php de votre site WordPress, désactivant ainsi complètement XML-RPC pour tous les utilisateurs.
Désactiver XML-RPC en utilisant le plugin Securicheck Pro
Une méthode simple pour désactiver XML-RPC est d’utiliser le plugin Securicheck Pro. Ce plugin vous permet de désactiver XML-RPC en quelques clics.
- Allez dans Securicheck > Réglages Sécurité.
- Cochez l’option Désactiver XML-RPC ? pour désactiver complètement XML-RPC.
- Enregistrez les modifications.
Tester et Vérifier
Après avoir désactivé XML-RPC, il est important de tester votre site pour vous assurer que le protocole est bien désactivé. Vous pouvez lancer l’url « https//votre-domaine.com/xmlrpc.php » et vérifier si la page ne se charge pas. Utiliser des outils comme cURL ou simplement vérifier les logs du serveur pour vous assurer qu’aucune requête XML-RPC n’est traitée.
Conclusion
Désactiver XML-RPC sur votre site WordPress peut grandement améliorer la sécurité de votre site en limitant les vecteurs d’attaque potentiels. Que vous choisissiez de le désactiver complètement ou seulement partiellement, ces mesures contribueront à protéger votre site.
En suivant ce guide, vous pourrez désactiver XML-RPC efficacement sur votre site WordPress. Si vous avez des questions ou des préoccupations, n’hésitez pas à nous contacter.
