Voulez-vous désactiver le XML-RPC sur votre site WordPress ?
XML-RPC est une API de base de WordPress qui permet aux utilisateurs de se connecter à leur site WordPress à l’aide d’applications, d’outils et de services tiers. Malheureusement, dans le passé, des pirates ont trouvé des moyens d’exploiter XML-RPC pour accéder à des sites WordPress.
Dans cet article, nous allons vous montrer comment désactiver facilement le XML-RPC sur WordPress.
Sommaire
Qu’est-ce que le XML-RPC sur WordPress ?
Le XML-RPC est une API de base de WordPress qui a été activée par défaut depuis la sortie de WordPress 3.5 en 2012. Elle permet aux développeurs d’utiliser les protocoles XML et HTTPS pour se connecter et interagir avec votre site web WordPress.
En bref, vous devez activer XML-RPC pour accéder à votre blog et le publier à distance, par exemple lorsque vous souhaitez utiliser une application mobile pour gérer votre site ou établir des connexions avec des services d’automatisation tels que IFTTT ou Zapier.
Cependant, si vous n’utilisez pas d’applications mobiles avec votre site web, alors certains experts en sécurité WordPress peuvent vous conseiller de désactiver XML-RPC. Cela ferme une porte qui peut potentiellement être exploitée pour pirater votre site web.
Ceci étant dit, voyons comment désactiver facilement l’API XML-RPC dans WordPress. La méthode .htaccess est la meilleure parce qu’elle est la moins gourmande en ressources, et les autres méthodes sont plus faciles pour les débutants.
Méthode 1 : Désactiver WordPress XML-RPC avec .htaccess (Avancé)
Cette méthode est destinée aux utilisateurs avancés car elle nécessite de modifier le fichier .htaccess de votre site. Nous recommandons aux débutants d’utiliser la méthode 2 ou 3.
Cette méthode présente plusieurs avantages, comme la possibilité de donner un accès à distance à vous-même et à votre équipe tout en restreignant l’accès à tous les autres. Elle n’affectera pas non plus les performances de WordPress, puisqu’elle désactive les requêtes XML-RPC avant qu’elles ne soient transmises à WordPress.
Vous devrez ajouter le code suivant à votre fichier .htaccess. Vous pouvez le faire en vous connectant à votre site à l’aide d’un client FTP ou d’un gestionnaire de fichiers. Les utilisateurs de All in One SEO peuvent également utiliser l’outil d’édition intégré au plugin pour ajouter l’extrait de code, comme vous pouvez le voir dans la capture d’écran ci-dessous.
Si vous souhaitez donner à un utilisateur donné un accès à distance à votre site, remplacez simplement « 123.123.123.123 » à la ligne 5 par son adresse IP. Vous pouvez ajouter plusieurs adresses IP en les séparant par des espaces.
Ou, si vous souhaitez désactiver complètement XML-RPC, supprimez la ligne 5.
Méthode 2 : Désactiver WordPress XML-RPC avec un extrait de code (recommandé)
Cette méthode nécessite que vous ajoutiez du code à votre site WordPress.
WPCode est le moyen le plus simple et le plus sûr d’ajouter du code à votre site WordPress. Il vous aide à gérer vos extraits de code et empêche toute erreur de briser votre site.
Dans cette méthode, nous utiliserons l’un des extraits de code intégrés à WPCode pour désactiver XML-RPC.
Tout d’abord, vous devez installer le plugin gratuit WPCode.
Une fois le plugin activé, rendez-vous dans la section Code Snippets > Add Snippet . La bibliothèque WPCode contient déjà un extrait qui désactive XML-RPC. Vous pouvez le trouver en recherchant « xml ».
Une fois que vous l’avez trouvé, vous devez cliquer sur le bouton « Use snippet ».
Ensuite, vous devez basculer la case « Active » sur la position « On ».
Enfin, assurez-vous de cliquer sur le bouton « Mettre à jour » pour activer l’extrait sur votre site et désactiver l’API XML-RPC.
Méthode 3 : Désactiver WordPress XML-RPC avec un plugin
Il s’agit d’une méthode simple qui peut être utilisée si vous ne voulez pas ajouter d’autres personnalisations à votre site web avec un extrait de code plugin
Installez et activez simplement le plugin Disable XML-RPC-API.
Le plugin fonctionne immédiatement et désactive XML-RPC.
Vous pouvez naviguer vers Sécurité XML-RPC > Paramètres XML-RPC pour configurer le plugin. Par exemple, vous pouvez autoriser certains utilisateurs à accéder à XML-RPC en établissant une liste blanche de leurs adresses IP.
Test de désactivation de l’API XML-RPC de WordPress
Vous devez maintenant vérifier que vous avez bien désactivé l’API XML-RPC sur votre site WordPress.
Tout ce que vous avez à faire est d’installer l’application mobile WordPress sur votre iPhone ou votre téléphone Android.
Ensuite, vous devez ouvrir l’application sur votre téléphone et appuyer sur le bouton « Entrer l’adresse de votre site existant ».
Sur l’écran suivant, il vous sera demandé de fournir l’adresse de votre site web. Saisissez l’adresse de votre site web et cliquez sur le bouton « Continuer ».
Ensuite, il vous sera demandé d’entrer vos informations de connexion. Vous devez fournir le même nom d’utilisateur et le même mot de passe que ceux que vous utilisez pour vous connecter à votre site web.
Si le XML-RPC a été désactivé correctement, vous ne pourrez pas vous connecter. Le message d’erreur suivant s’affiche : « Les services XML-RPC sont désactivés sur ce site ».
Vous pouvez également vérifier que le XML-RPC est désactivé sans utiliser de téléphone. Vous devez visiter l’URL http://example.com/xmlrpc.php dans votre navigateur. Veillez à remplacer « exemple.com » par le nom de domaine de votre propre site web.
Si XML-RPC est désactivé, vous devriez voir le message d’erreur suivant : ‘Forbidden : You don’t have permission to access this resource’ (Interdit : vous n’avez pas la permission d’accéder à cette ressource).
