Accueil » WordPress Désactiver wp_xmlrpc

WordPress Désactiver wp_xmlrpc

/ Wordpress / Par

Le XML-RPC permet à WordPress de pouvoir communiquer avec d’autres applications, le soucis de XML-RPC est qu’il est également utiliser pour les attaques sur les sites WordPress. Dans cette procédures, je vais vous montrer comment désactiver wp_xmlrpc dans WordPress. Si wp_xmlrpc n’est pas utilisé, il est impératif à désactiver car il représente une menace de sécurité.

Logo WordPress

Prérequis :

  • Avoir un site WordPress
  • Avoir un accès de modification sur les fichiers de WordPress

Désactiver wp_xmlrpc dans WordPress avec Apache :

Pour désactiver wp_xmlrpc dans WordPress, il faut interagir avec le fichier .htaccess qui se trouve à la racine de votre site, alors avant de modifier quoi que ce soit faites une copie de se fichier avant de le modifier. En cas de mauvaise manipulation vous aurez juste à restaurer le fichier de base pour revenir à la normale.

Commande pour copier le fichier : 

cp .htaccess .htaccess.sauveguarde

Ensuite ouvrer le fichier .htaccess avec un éditeur de texte

nano .htaccess

Puis coller cette configuration à la fin de votre fichier : 

# BEGIN Disable XML-RPC request
<Files xmlrpc.php>
   order allow,deny
   deny from all
</Files>
# END Disable XML-RPC
Wordpress - Désactiver wp_xmlrpc avec Apache htaccess

Une fois que vous avez changé cette configuration, wp_xmlrpc de votre site Web sera désactiver.

Sources :

https://ws.apache.org/xmlrpc/

Après avoir fait ces modifications dans le fichier .htaccess, il se peut que des services que vous utiliser ne fonctionnent plus.
Si vous souhaitez revenir en arrière, soit vous devez retirer la configuration qui a été ajouter dans le fichier .htaccess ou sinon il faudra restauré le fichier .htaccess.sauveguarde.
Ou vous pouvez également modifier votre structure de la manière suivant : 

# BEGIN Disable XML-RPC request
<Files xmlrpc.php>
   order allow,deny
   deny from all
   allow from xxx.xxx.xxx.xxx
</Files>
# END Disable XML-RPC

En remplacent xxx.xxx.xxx.xxx par l’ip de votre service

Si vous utiliser Apache avec votre site Web WordPress, je vous conseil également de suivre cette procédure afin de sécuriser votre WordPress : Sécuriser Apache2 sur un serveur

Utiliser un pare-feu tel que UFW est aussi obligatoire afin de ne pas exposer tous les ports de votre site Web.

Susceptible de vous intéresser :