Dernière mise à jour sur 6 sept. 2023, 13:13:54.
Catégorie:
Platforme d'hébergement
| Hébergement web questions techniques
beveiliging Firewall Wordpress
Cet article explique comment vous pouvez optimiser Wordpress pour l'empêcher d'être attaqué par la vulnérabilité xml-rpc.php.
La fonctionnalité XML-RPC (XML Remote Procedure Call) de Wordpress est devenue une porte dérobée pour quiconque tente d'exploiter une installation Wordpress.
Bien que Wordpress soit un système de gestion de contenu extrêmement convivial et accessible, nous vous conseillons d'améliorer la sécurité de votre site Wordpress avec quelques ajustements mineurs mais efficaces.
De plus... saviez-vous que la plate-forme d'hébergement Web Kinamo est livrée par défaut avec un pare-feu d'application Web (WAF), qui exclut déjà bon nombre de ces coupables ?
Sachez également que vous devez maintenir votre installation Wordpress à jour !
Vous n'avez aucune idée sur la façon de faire cela? N'hésitez pas à demander notre aide, notre équipe est prête !
Mettre à jour un site Web avec une seule commande déclenchée à distance. Ça a l'air génial... malheureusement, ça sonne aussi comme un gros drapeau rouge avec les lettres "hack me" peintes en blanc, et c'est exactement ce qui s'est passé avec la fonction XML-RPC dans Wordpress.
L'idée initiale derrière la fonction était géniale, mais il est vite devenu clair que XML-RPC allait être abusé par des pirates, des scripts, des bots... tout ce qui essaie d'accéder à votre site Web Wordpress.
Avant la version 3.5 il n'y avait pas de problème, la fonctionnalité était désactivée par défaut, cependant de nos jours, la fonction est activée par défaut !
C'est sans doute l'une des fonctions les plus abusées sur une plateforme d'hébergement et on peut facilement affirmer que sur les 1% de requêtes "correctes", il y a 99% de requêtes défectueuses de bots, scripts, hackers,... Installation de Wordpress à l'aide d'attaques DDoS XML-RPC.
J'espère que vous êtes convaincu de "ne pas être immédiatement nécessaire" de cette fonctionnalité.
Cependant, si vous êtes sûr à 100% de ce à quoi sert XML-RPC et que vous l'utilisez réellement, n'hésitez pas à ignorer le reste de cet article.
Cependant, si vous appartenez au groupe cible des "croyants" qui ne voient pas immédiatement le point, vous pouvez utiliser les options suivantes pour désactiver XML-RPC.
Tout d'abord, sortons un mythe de l'éther : le fichier "supprimer simplement" offre peu de réconfort, d'une part le fichier d'origine est garanti d'être replacé dans la prochaine mise à jour (ou pire, la mise à jour de Wordpress échoue car un le fichier est manquant), par contre il génère une erreur 404 (Page introuvable) et la requête vers XML-RPC est simplement convertie en une cascade d'erreurs 404, donc tout sauf une solution et au moins autant de charge serveur !
C'est le moyen le plus simple. Le plug-in Disable XML-RPC vous permet de désactiver simplement la fonctionnalité. Certes, moins attractif pour les mordus de la console, mais ça fait le boulot !
Il est préférable de désactiver la fonctionnalité Pingback (qui utilise XML-RPC). Les désactiver seuls ne résoudra pas le problème, mais si vous avez utilisé le plugin ci-dessus, vous devez également désactiver les Pingbacks.
Vous pouvez le trouver sous le tableau de bord de Wordpress, Paramètres "Autoriser les notifications de liens d'autres blogs (pingbacks et trackbacks) sur les nouveaux articles".
Le meilleur moyen reste de désactiver les requêtes au niveau du serveur Web.
Cela peut être fait sur les serveurs web Apache via un fichier .htaccess avec le code suivant :
## block XML-RPC requests <Files xmlrpc.php> order deny,allow deny from all </Files>
Pour le serveur NGinx, vous pouvez ajouter les éléments suivants à votre configuration :
## block XML-RPC requests location = /xmlrpc.php { deny all; }Lapréférence est bien sûr donnée à la dernière étape, car elle protège déjà la requête au niveau du serveur et aucun traitement de code n'a même lieu.
Vous n'avez pas obtenu de réponse à toutes vos questions?
Ne vous inquiétez pas, faites une demande d'assistance!