Bonjour,

Pourquoi désactiver XML-RPC ?

Comme toujours en matière de sécurité informatique, il faut faire un choix :

  • lorsqu’on se facilite la vie avec des « fonctions sympa », on crée des failles de sécurité ;
  • si on veut sécuriser (on dit également « durcir ») un système, il faut limiter au maximum les fonctionnalités qui créent des vulnérabilités, et notamment tous les services accessibles sur ce système.

C’est le cas notamment de tout ce qui permet de réaliser des opérations à distance simplement.

L’acronyme RPC (Remote Procedure Call = appel de procédures à distance) regroupe des fonctions permettant de faire des choses à distance sur un système. Les RPC font la joie des hackers malveillants.

Il est toujours préférable de désactiver toutes les possibilités de contrôle à distance et, si on ne peut pas, de mettre en place des outils et procédures strictes et maîtrisées. Même si cela nous prive de quelques « fonctions sympas et cool ».

Comment désactiver XML-RPC ?

La procédure la plus simple est de supprimer le fichier « xmlrpc.php » qui se trouve en principe dans la racine de votre blog WordPress (et y veiller à chaque fois que vous ferez des mises à jours).

La deuxième façon de faire est d’ajouter ceci dans le .htaccess :

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Il existe également une méthode avec des extensions (plugins) WordPress, mais, pour des raisons de sécurité, je ne recommande pas de multiplier le recours à des extensions.

Vous vous en doutez, retirer ce fichier ou l’accès à ce fichier peut modifier le comportement de votre blog. Tout fonctionne à merveille pour la partie de WordPress que je recommande d’utiliser, pour ma part…

Je vous en dirai plus si nous avons l’occasion d’en parler plus longuement.

À votre service,

Marc JESTIN


Articles similaires :