Pour-quoi c'est mieux de désactiver XML-RPC dans Wordpress

Dernière mise à jour sur 6 sept. 2023 à 13:13:54.
Catégorie: Platforme d'hébergement | Hébergement web questions techniques

beveiliging Firewall Wordpress

Cet article explique comment vous pouvez optimiser Wordpress pour l'empêcher d'être attaqué par la vulnérabilité xml-rpc.php.

La fonctionnalité XML-RPC (XML Remote Procedure Call) de Wordpress est devenue une porte dérobée pour quiconque tente d'exploiter une installation Wordpress.

Bien que Wordpress soit un système de gestion de contenu extrêmement convivial et accessible, nous vous conseillons d'améliorer la sécurité de votre site Wordpress avec quelques ajustements mineurs mais efficaces.

De plus... saviez-vous que la plate-forme d'hébergement Web Kinamo est livrée par défaut avec un pare-feu d'application Web (WAF), qui exclut déjà bon nombre de ces coupables ?

Sachez également que vous devez maintenir votre installation Wordpress à jour !

Vous n'avez aucune idée sur la façon de faire cela? N'hésitez pas à demander notre aide, notre équipe est prête !

Qu'est-ce que Wordpress XML-RPC ?

Mettre à jour un site Web avec une seule commande déclenchée à distance. Ça a l'air génial... malheureusement, ça sonne aussi comme un gros drapeau rouge avec les lettres "hack me" peintes en blanc, et c'est exactement ce qui s'est passé avec la fonction XML-RPC dans Wordpress.

L'idée initiale derrière la fonction était géniale, mais il est vite devenu clair que XML-RPC allait être abusé par des pirates, des scripts, des bots... tout ce qui essaie d'accéder à votre site Web Wordpress.

Avant la version 3.5 il n'y avait pas de problème, la fonctionnalité était désactivée par défaut, cependant de nos jours, la fonction est activée par défaut !

C'est sans doute l'une des fonctions les plus abusées sur une plateforme d'hébergement et on peut facilement affirmer que sur les 1% de requêtes "correctes", il y a 99% de requêtes défectueuses de bots, scripts, hackers,... Installation de Wordpress à l'aide d'attaques DDoS XML-RPC.

Comment désactiver XML-RPC dans Wordpress ?

J'espère que vous êtes convaincu de "ne pas être immédiatement nécessaire" de cette fonctionnalité.

Cependant, si vous êtes sûr à 100% de ce à quoi sert XML-RPC et que vous l'utilisez réellement, n'hésitez pas à ignorer le reste de cet article.

Cependant, si vous appartenez au groupe cible des "croyants" qui ne voient pas immédiatement le point, vous pouvez utiliser les options suivantes pour désactiver XML-RPC.

Tout d'abord, sortons un mythe de l'éther : le fichier "supprimer simplement" offre peu de réconfort, d'une part le fichier d'origine est garanti d'être replacé dans la prochaine mise à jour (ou pire, la mise à jour de Wordpress échoue car un le fichier est manquant), par contre il génère une erreur 404 (Page introuvable) et la requête vers XML-RPC est simplement convertie en une cascade d'erreurs 404, donc tout sauf une solution et au moins autant de charge serveur !

Utiliser le plug-in Désactiver XML-RPC

C'est le moyen le plus simple. Le plug-in Disable XML-RPC vous permet de désactiver simplement la fonctionnalité. Certes, moins attractif pour les mordus de la console, mais ça fait le boulot !

Désactiver les PingBacks/Tracesbacks

Il est préférable de désactiver la fonctionnalité Pingback (qui utilise XML-RPC). Les désactiver seuls ne résoudra pas le problème, mais si vous avez utilisé le plugin ci-dessus, vous devez également désactiver les Pingbacks.
Vous pouvez le trouver sous le tableau de bord de Wordpress, Paramètres "Autoriser les notifications de liens d'autres blogs (pingbacks et trackbacks) sur les nouveaux articles".

Désactiver Wordpress XML-RPC au niveau du serveur Web

Le meilleur moyen reste de désactiver les requêtes au niveau du serveur Web.
Cela peut être fait sur les serveurs web Apache via un fichier .htaccess avec le code suivant :

## block XML-RPC requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Pour le serveur NGinx, vous pouvez ajouter les éléments suivants à votre configuration :

## block XML-RPC requests
location = /xmlrpc.php {
 deny all;
 }La
préférence est bien sûr donnée à la dernière étape, car elle protège déjà la requête au niveau du serveur et aucun traitement de code n'a même lieu.
Rappelez-vous également que la plateforme Kinamo Webhosting est équipée en standard d'un pare-feu d'application Web (WAF) qui bloque déjà ces requêtes.
Autrement dit, votre site web sur la plateforme d'hébergement Kinamo est déjà largement protégé de telles requêtes malveillantes !

Articles connexes

Apache - Désactiver SSL 2.0, SSL 3.0 et opter pour une configuration SSL moderne et sûre.

Cet article vous montre comment désactiver les protocoles SSL 2.0, SSL 3.0 et les anciennes versions de TLS sur votre...

En savoir plus

Paramètres des serveurs mail Kinamo (feuille de triche)

L'article suivant vous donne un résumé de la configuration et noms du serveurs mail de Kinamo. Avec la liste ici...

En savoir plus

Créer un filtre anti-spam avec le Kinamo Webmail

L'article suivant vous explique comment ajouter un filtre spécial pour mettre des messages SPAM automatiquement dans un dossier dans votre...

En savoir plus

Besoin d'aide supplémentaire?

Vous n'avez pas obtenu de réponse à toutes vos questions?
Ne vous inquiétez pas, faites une demande d'assistance!

Sélectionnez votre langue

Toutes les langues: