Qu’Est-Ce que Xmlrpc.php dans WordPress et Pourquoi Vous Devriez le désactiver

WordPress a toujours eu des fonctionnalités intégrées qui vous permettent d’interagir à distance avec votre site. Avouez-le, vous devrez parfois accéder à votre site Web et votre ordinateur ne sera nulle part à proximité. Pendant longtemps, la solution était un fichier nommé xmlrpc.php. Mais ces dernières années, le fichier est devenu plus un ravageur qu’une solution.

Ci-dessous, nous plongeons dans ce que xmlrpc.php est en fait et pourquoi il a été créé. Nous avons également un aperçu des problèmes de sécurité courants qu’il provoque et de la façon de les corriger sur votre propre site WordPress.

Qu’Est-Ce Que Xmlrpc.php ?

XML-RPC est une fonctionnalité de WordPress qui permet de transmettre des données, HTTP agissant comme mécanisme de transport et XML comme mécanisme d’encodage. Étant donné que WordPress n’est pas un système autonome et doit parfois communiquer avec d’autres systèmes, cela a été cherché pour gérer ce travail.

Par exemple, supposons que vous vouliez publier sur votre site à partir de votre appareil mobile car votre ordinateur n’était nulle part à proximité. Vous pouvez utiliser la fonction d’accès à distance activée par xmlrpc.php pour faire exactement cela.

Les fonctionnalités de base de xmlrpc.php activé vous permettait de vous connecter à votre site via un smartphone, d’implémenter des trackbacks et des pingbacks d’autres sites, et certaines fonctions associées au plugin Jetpack.

Pourquoi Était Xmlrpc.php Créé et Comment a-t-il été Utilisé?

L’implémentation de XML-RPC remonte aux débuts de WordPress avant même qu’il ne devienne WordPress.

Aux débuts d’Internet, lorsque les connexions étaient incroyablement lentes, le processus d’écriture et de publication sur le Web était beaucoup plus difficile et prenait beaucoup de temps. Au lieu d’écrire dans le navigateur lui-même, la plupart des gens écrivaient hors ligne, puis copiaient et collaient leur contenu sur le Web. Pourtant, ce processus était loin d’être idéal.

La solution (à l’époque), était de créer un client de blog hors ligne, où vous pouviez composer votre contenu, puis vous connecter à votre blog pour le publier. Cette connexion s’est faite via XML-RPC. Avec le cadre de base de XML-RPC en place, les premières applications utilisaient cette même connexion pour permettre aux utilisateurs de se connecter à leurs sites WordPress à partir d’autres appareils.

XML-RPC De nos jours

En 2008, avec la version 2.6 de WordPress, il y avait une option pour activer ou désactiver XML-RPC. Cependant, avec la sortie de l’application WordPress pour iPhone, la prise en charge de XML-RPC était activée par défaut et il n’y avait aucune option pour désactiver le paramètre. Cela est resté fidèle à nos jours.

Cependant, la fonctionnalité de ce fichier a considérablement diminué au fil du temps et la taille globale du fichier est passée de 83 Ko à 3 Ko, de sorte qu’il ne joue pas un rôle aussi important qu’auparavant.

L’avenir de XML-RPC

Avec la nouvelle API WordPress, nous pouvons nous attendre à ce que XML-RPC soit complètement éliminé. Aujourd’hui, cette nouvelle API est encore en phase d’essai et ne peut être activée que par l’utilisation d’un plugin.

Cependant, vous pouvez vous attendre à ce que l’API soit codée directement dans le noyau WordPress à l’avenir, ce qui éliminera principalement le besoin de xmlrpc.fichier php tout à fait.

La nouvelle API n’est pas parfaite, mais elle fournit une solution plus robuste et plus sécurisée au problème que xmlrpc.php adressé.

Pourquoi Vous Devriez Désactiver Xmlrpc.php

Les plus gros problèmes avec XML-RPC sont les problèmes de sécurité qui surviennent. Les problèmes ne concernent pas directement XML-RPC, mais plutôt la façon dont le fichier peut être utilisé pour activer une attaque par force brute sur votre site.

Bien sûr, vous pouvez vous protéger avec des mots de passe incroyablement forts et des plugins de sécurité WordPress. Mais, le meilleur mode de protection est de simplement le désactiver.

Il y a deux faiblesses principales à XML-RPC qui ont été exploitées dans le passé.

La première consiste à utiliser des attaques par force brute pour accéder à votre site. Un attaquant tentera d’accéder à votre site en utilisant xmlrpc.php en utilisant diverses combinaisons de nom d’utilisateur et de mot de passe. Ils peuvent utiliser efficacement une seule commande pour tester des centaines de mots de passe différents. Cela leur permet de contourner les outils de sécurité qui détectent et bloquent généralement les attaques par force brute.

La seconde mettait les sites hors ligne à travers une attaque DDoS. Les pirates utiliseraient la fonction pingback de WordPress pour envoyer des pingbacks à des milliers de sites instantanément. Cette fonctionnalité dans xmlrpc.php offre aux pirates une quantité presque infinie d’adresses IP pour distribuer une attaque DDoS.

Pour vérifier si XML-RPC est en cours d’exécution sur votre site, vous pouvez l’exécuter via un outil appelé Validateur XML-RPC. Exécutez votre site via l’outil, et si vous obtenez un message d’erreur, cela signifie que XML-RPC n’est pas activé.

Si vous recevez un message de succès, vous pouvez arrêter xmlrpc.php avec l’une des deux approches ci-dessous.

Méthode 1: Désactivation de Xmlrpc.php Avec des plugins

Désactiver XML-RPC sur votre site WordPress ne pouvait pas être plus facile.

Accédez simplement aux plugins « Ajouter une nouvelle section depuis votre tableau de bord WordPress. Recherchez Désactiver XML-RPC et installez le plugin qui ressemble à l’image ci-dessous:

Activez le plugin et vous êtes prêt. Ce plugin insérera automatiquement le code nécessaire pour désactiver XML-RPC.

Cependant, gardez à l’esprit que certains plugins existants peuvent utiliser des parties de XML-RPC, de sorte que le désactiver complètement pourrait entraîner un conflit de plugins ou que certains éléments de votre site ne fonctionneraient plus.

Si vous souhaitez désactiver uniquement certains éléments de XML-RPC, tout en permettant à certains plugins et fonctionnalités de fonctionner, utilisez plutôt les plugins suivants:

• Arrêtez l’attaque XML-RPC. Ce plugin arrêtera toutes les attaques XML-RPC, mais il continuera à permettre à des plugins comme Jetpack et d’autres outils et plugins automatiques de conserver l’accès au xmlrpc.fichier php.
• Contrôle de la publication XML-RPC. Cela vous permet de conserver le contrôle et l’utilisation de l’option de publication à distance offerte par xmlrpc.php.

Méthode 2: Désactivation de Xmlrpc.php Manuellement

Si vous ne souhaitez pas utiliser de plugin et préférez le faire manuellement, suivez cette approche. Il arrêtera tous les xmlrpc entrants.demandes php avant qu’il ne soit transmis à WordPress.

Ouvrez votre.fichier htaccess. Vous devrez peut-être activer « afficher les fichiers cachés » dans le gestionnaire de fichiers ou votre client FTP pour localiser ce fichier.

À l’intérieur de votre.fichier htaccess, collez le code suivant:

# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>

Réflexions de clôture

Dans l’ensemble, XML-RPC était une solution solide à certains des problèmes survenus en raison de la publication à distance sur votre site WordPress. Cependant, avec cette fonctionnalité, il y a eu des failles de sécurité qui ont fini par être assez dommageables pour certains propriétaires de sites WordPress.

Pour vous assurer que votre site reste sécurisé, il est conseillé de désactiver xmlrpc.php entièrement. Sauf si vous avez besoin de certaines des fonctions nécessaires à la publication à distance et du plugin Jetpack. Ensuite, vous devez utiliser les plugins de contournement qui permettent ces fonctionnalités, tout en corrigeant les failles de sécurité.

Avec le temps, nous pouvons nous attendre à ce que les fonctionnalités de XML-RPC soient intégrées à la nouvelle API WordPress, qui conservera l’accès à distance et autres, sans sacrifier la sécurité. Mais, en attendant, c’est une bonne idée de vous protéger des failles de sécurité potentielles XML-RPC.