485
WordPress XML-RPC : une flexibilité maximale et une intégration sans faille. Celle-ci entraîne toutefois aussi une vulnérabilité accrue aux failles de sécurité.
xmlrpc.php – Explication simple
XML-RPC désigne l’abréviation de « Extensible Markup Language Remote Procedure Call ».
- Il s’agit d’une spécification de protocole qui permet la transmission de requêtes distantes dans les réseaux informatiques.
- Il est souvent utilisé par des applications ou des services externes pour interagir avec un serveur WordPress sans avoir à accéder directement à l’interface d’administration de WordPress.
- L’utilisation de XML-RPC requiert une authentification, généralement par nom d’utilisateur et mot de passe ou à l’aide d’un jeton.
- Dans les anciennes versions de WordPress, cette interface était désactivée.
- Depuis la version 3.5 de WordPress, XML-RPC est activé par défaut pour que l’application mobile puisse communiquer avec l’installation de WordPress.
xmlrpc.php – Sécurité
XML-RPC peut être à la fois utile et potentiellement risqué. Il permet d’automatiser des tâches et des intégrations, mais peut aussi ouvrir des brèches de sécurité.
- Avec l’introduction de l’API REST dans le noyau de WordPress, XML-RPC n’est plus nécessaire à des fins de communication.
- Pour des raisons de sécurité, il est donc recommandé de désactiver XML-RPC.
- L’éventail des systèmes avec lesquels l’API REST peut interagir est en outre nettement plus large qu’avec XML-RPC.
xmlrpc.php – Désactiver
Au vu du remplacement de XML-RPC par l’API REST, il est recommandé de désactiver le fichier xmlrpc.php sur votre site.
- Pour désactiver l’interface dans le code, insérez le code suivant dans le fichier .htaccess :
- Order Allow,Deny ().
- Deny from allAlternativement, vous pouvez minimiser le risque de sécurité avec le plugin WordPressDisable XML-RPC Pingback.
- Dans certains cas, votre fournisseur d’hébergement peut également désactiver XML-RPC.
