Comment désactiver manuellement XML-RPC dans WordPress et les plugins?

WordPress Désactiver XMLRPC

 Comment désactiver XMLRPC.php dans WordPress - Plugins WordPress Rpc Xml

Le XMLRPC.PHP est un système qui autorise les mises à jour à distance de WordPress à partir de diverses autres applications. Cet article sur WordPress Xmlrpc vous aidera à comprendre pourquoi la désactivation de WordPress XMLRPC est une bonne idée et 4 façons de désactiver xmlrpc dans wordpress, manuellement & à l’aide de plugins.

Qu’est-ce que WordPress XMLRPC?

XMLRPC.php est une fonctionnalité qui permet une connexion à distance à WordPress. Cette API offre aux développeurs d’applications de bureau et d’applications mobiles la possibilité de communiquer avec votre site Web WordPress. Cette API propose aux développeurs d’écrire des applications qui vous permettent de faire de nombreuses choses chaque fois que vous êtes connecté à WordPress via une interface Web, notamment –

  • Chaque fois que vous téléchargez un nouveau fichier tel qu’une image pour une publication.
  • Chaque fois que vous modifiez des commentaires.
  • Chaque fois que vous modifiez un article.
  • Chaque fois que vous supprimez un message.
  • Chaque fois que vous publiez un article.
  • Chaque fois que vous obtenez une liste de commentaires.

Pour avoir une meilleure compréhension du xmlrpc.fichier php, il est impératif de se familiariser avec les bases suivantes –

  • RPC est un appel de procédure à distance – Cela vous aide à appeler une procédure à distance à partir d’un poste de travail ou d’un appareil.
  • XML (Extensible Markup Language) – Ce langage particulier est encadré pour stocker et transporter des données, à peu près comme HTTP.
  • HTTP (Hyper Text Transfer Protocol) – C’est un protocole d’application qui définit la façon dont les messages seront formatés et transmis sur le World Wide Web. Le protocole détermine également les actions des serveurs Web et des navigateurs en réponse aux commandes. Dans ce cas, avec l’aide de HTTP, les données peuvent être facilement transférées d’un appareil distant vers un site Web.
  • PHP (Pré-processeur hypertexte) – C’est un langage de script et de programmation. Cette langue particulière sert principalement des sites Web dynamiques. Il est utilisé pour établir une conversation entre –
  • L’utilisateur
  • Le site Web
  • Les bases de données

Donc, techniquement parlant, avec xmlrpc.fichier php un appel de procédure distant est facilité. Cela se fait en utilisant XML pour encoder le message et l’envoyer via HTTP. Grâce à cela, des informations peuvent être échangées entre des appareils ou des ordinateurs.

what-is-xmlrpc-how-xml-Rpc-works

Pourquoi vous devriez désactiver XML-RPC dans WordPress

Bien que cela semble incroyable de mettre à jour un site Web avec une seule commande déclenchée à distance. mais malheureusement, cela soulève également un grand drapeau rouge, et c’est exactement ce qui s’est passé avec la fonction XML-RPC dans WordPress.

Au départ, c’était une bonne idée d’inclure cette fonctionnalité dans wordpress, mais on s’est vite rendu compte qu’elle pouvait ouvrir une porte dérobée dans wordpress pour les pirates informatiques, les robots de script ou toute personne essayant d’accéder à votre site wordpress pour y entrer et en abuser. Avant WordPress 3.5, cette fonctionnalité était désactivée par défaut, mais peu de temps après, wordpress xmlrps est activé par défaut.

Sans aucun doute, c’est devenu la fonctionnalité la plus abusée sur wordpress. Cela peut entraîner des charges de demandes défectueuses de pirates, de robots et de scripts, qui tentent tous de pirater votre site WordPress via une attaque DDOS WordPress XML-RPC organisée.

Attaques XML-RPC courantes

Au cours des deux dernières années, après que deux attaques sur XMLRPC ont reçu une couverture immense, discutons-en en détail –

  • Attaques par force brute via XML-RPC – Vous n’avez pas à vous inquiéter si vous avez les conseils d’experts de WP hacked help car une fois que le pirate a atteint la limite de tentative de connexion, nous le bloquons simplement. Selon l’attaque, le pirate tente de se connecter à votre site Web WordPress à l’aide de xmlrpc.php. Voyons, en détail ci-dessous, comment cela se fait et comment vous allez en profiter pendant que vous testez un site Web pour détecter les vulnérabilités potentielles de WordPress. Avec une seule commande, les pirates peuvent examiner des centaines de mots de passe différents. En conséquence, cela leur permet de contourner les outils de sécurité qui détectent et bloquent les attaques par force brute dans wordpress. Vous pouvez protéger votre site Web contre les pirates avec nos services de sécurité WordPress.
  • DDoS via des pingbacks XML-RPC – Cela ne peut pas être qualifié de type efficace de DDoS et de nombreux plugins anti-spam ont pu découvrir avec succès ce type d’abus. Avec cela, les pirates utilisaient la fonction pingback de WordPress pour envoyer des pingbacks à des milliers de sites à la fois. Ce xmlrpc.la fonctionnalité php offre aux pirates avec de nombreuses adresses IP d’envoyer leurs attaques DDoS.

Attaque BrutForce

1 – Lorsque vous ouvrez xmlrpc.php, vous verrez cela situé à –

http://<xyz.com>/<wordpress directory>/xmlrpc.php

 WordPress XML - Attaque RPC

2- Maintenant, ouvrez votre proxy et vous devez envoyer à nouveau la demande.

 Xml Rpc WordPress

3- À ce stade, vous devez envoyer une demande post et vous rendre accessible une liste de toutes les méthodes. Vous vous demandez peut-être pourquoi? C’est ainsi que vous allez vous familiariser avec toutes les actions qu’il est possible de faire et de l’utiliser pour l’attaque.

Pour lister toutes les méthodes, vous devez envoyer une demande de publication avec les données de publication mentionnées ci-dessous dans l’image, vous recevrez un feedback avec toutes les méthodes disponibles.

<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>

 Vulnérabilité WordPress XML-RPC

Regardez de plus près ce qui suit, s’ils sont avec vous, nous pouvons aller de l’avant avec l’attaque

*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs

3- Vous devez envoyer ce qui suit dans la demande POST afin d’effectuer une connexion par force brute. Si vous connaissez d’autres noms d’utilisateur valides, wp-scan peut vous aider à trouver des noms d’utilisateur valides.

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>

 la force brute xmlrpc wordpress

4 – Tout ce dont vous avez besoin pour entrer dans l’intrus et la force brute. Peu importe que vous ayez entré un mot de passe correct ou incorrect, vous finirez par avoir une réponse correcte. C’est là que vous devrez décider entre le mauvais et le correct en fonction de la taille de la réponse. Dans le cas où vous utilisez un intrus, la réponse sur la connexion correcte sera la suivante –

 Vulnérabilité XML-RPC wordpress

À quoi Peut servir XML-RPC

XMLRPC a sa juste part d’utilisations, discutons-en –

  • Appliquez des pingbacks et des trackbacks – Selon cette méthode, les blogs sont informés que vous les avez liés. Les trackbacks XMLRPC sont effectués manuellement et un extrait court doit être partagé. Les pingbacks XMLRPC sont automatisés et aucun extrait court n’a besoin d’être partagé.
  • Possibilité d’accéder à votre site Web à distance et de pouvoir y apporter des modifications – Supposons une situation où vous devez apporter des modifications à votre blog WordPress, mais malheureusement vous n’avez pas accès à votre ordinateur portable ou à votre ordinateur.

Vous pouvez installer l’application WordPress sur votre smartphone pour poster sur votre site Web. L’application peut effectuer cela à l’aide d’une fonctionnalité appelée accès à distance qui est activée par un fichier appelé xmlrpc.php.

  • Permet au plugin JetPack de se connecter à WordPress.com – Au cours des deux dernières années, le plugin a acquis une immense popularité à travers le monde. Avec le plugin JetPack, vous pouvez concevoir, sécuriser et développer votre site Web WordPress. Si vous utilisez une fusion de l’application WordPress et de JetPack, vous aurez besoin du xmlrpc.fichier php pour son bon fonctionnement.

Comment désactiver XMLRPC dans WordPress?

Pourquoi ne pas désactiver complètement xmlrpc

Il est facile de le faire à l’aide du plugin discuté ci-dessus; cependant, si vous utilisez des plugins célèbres tels que JetPack, ces plugins cesseront de fonctionner complètement.

C’est là que nous allons discuter de trois façons d’utiliser lesquelles vous pouvez facilement désactiver XML-RPC dans le site Web WordPress.

Désactiver XML-RPC dans WordPress 3.5

Tout ce que vous avez à faire est de coller le code suivant dans un plugin spécifique au site:

1
add_filter('xmlrpc_enabled', '__return_false');

Désactivation de XML-RPC avec un plugin –

Car il existe plusieurs plugins dans le référentiel WordPress, désactivant xmlrpc.php sera facile. Nous allons vous montrer comment le faire, étape par étape, avec l’aide de ‘désactiver le plugin xmlrpc’.

  • Dans la première étape, vous devez vous connecter à votre tableau de bord wp-admin. Une fois connecté, vous devez aller dans Plugins.
  • Vous verrez ajouter un nouveau à côté des plugins.

 plugin désactiver xmlrpc

À l’aide d’une barre de recherche, vous devez rechercher désactiver Xmlrpc. Vous devez voir le plugin suivant dans les résultats –

 plugin désactiver xmlrpc wordpress

C’est là que vous devez activer et installer un plugin désactiver xmlrpc. Une fois que vous avez activé le plugin, la fonctionnalité xmlrpc sera désactivée. La version de votre site WordPress doit être 3.5 et supérieure.

Étant donné que le plugin est gratuit, vous devez donc vérifier les mises à jour régulières que le plugin reçoit, en vous assurant qu’il est toujours utilisé par son créateur.

WordPress Désactiver les plugins Xmlrpc

Désactiver XML-RPC

Ce plugin fonctionnera sur la version du site Web WordPress fonctionnant sur 3.5 ou supérieure. Sites Web WordPress fonctionnant sur la version 3.5 ou supérieure, xmlrpc est activé par défaut. De plus, l’option qui active et désactive le xmlrpc a été supprimée. Il existe de nombreuses raisons pour lesquelles les propriétaires peuvent vouloir désactiver la fonctionnalité. En utilisant ce plugin, cela peut être facilement fait. Voici comment installer ce plugin –

  • Pour installer ce plugin, vous devez télécharger le répertoire xmlrpc dans le répertoire /wp-content/plugins/ pendant que vous installez WordPress.
  • Vous pouvez activer le plugin en passant par le menu ‘Plugins’ de WordPress.
  • À ce stade, votre xmlrpc est désactivé.

Supprimer & Désactiver le Pingback XML-RPC

Vous n’avez pas besoin d’être victime d’attaques par déni de service pingback. Une fois que vous avez activé le plugin, xml-rpc est automatiquement désactivé. La meilleure chose à propos de ce plugin est que vous n’avez rien à configurer. Lorsque vous désactivez le pingback xmlrpc, vous pourrez réduire l’utilisation du processeur du serveur.

 attaque pingback wordpress XMLRPC

Installez le plugin à l’aide du tableau de bord WordPress –

  • Dans le tableau de bord des plugins, vous devez accéder à « Ajouter un nouveau ».
  • C’est là que vous devez rechercher ‘Supprimer le Ping de retour de Ping XMLRPC’.
  • À ce stade, vous devez cliquer sur « Installer maintenant ».
  • Maintenant, vous devez activer le plugin sur le tableau de bord du plugin.

Téléchargement dans le tableau de bord WordPress –

  • Dans le tableau de bord du plugin, vous devez accéder à « Ajouter un nouveau ».
  • Passez à la zone ‘Télécharger’.
  • C’est là que vous devez sélectionner remove-xmlrpc-ping.zip de votre ordinateur portable / ordinateur.
  • Vous devez cliquer sur « Installer maintenant ».
  • Maintenant, vous devez activer le plugin sur le tableau de bord du plugin.

En utilisant FTP –

  • Dans la première étape, vous devez télécharger remove-xmlrpc-pingback-ping.zip.
  • Vous devez extraire le répertoire remove-xmlrpc-pingback-ping sur votre ordinateur portable / ordinateur.
  • À ce stade, vous devez télécharger le répertoire remove-xmlrpc-pingback-ping dans le répertoire /wp-content/plugins/.
  • Maintenant, vous devez activer le plugin sur le tableau de bord du plugin.

Loginizer

C’est l’un des plugins WordPress les plus efficaces qui vous aide à lutter contre une attaque brutforce. Le plugin le fait en bloquant la connexion pour l’IP une fois qu’elle a atteint les retraits les plus élevés autorisés. Avec l’aide de ce plugin, vous pouvez facilement mettre en liste noire ou en liste blanche les adresses IP à des fins de connexion. Vous avez la possibilité d’utiliser d’autres fonctionnalités telles que –re, Connexion sans mot de passe, Auteur à deux facteurs, etc.

Suivez les étapes ci-dessous pour installer le plugin –

  • Tout d’abord, vous devez vous connecter à votre panneau d’administration WordPress.
  • La deuxième étape consiste à accéder à l’onglet Plugins, puis à en ajouter de nouveaux.
  • C’est là que vous devez rechercher Loginizer.
  • Appuyez sur le bouton Installer maintenant.
  • Pour activer le plugin, vous devez appuyer sur le bouton Activer.
  • Accédez à votre tableau de bord, passez aux Paramètres, puis à Loginizer.
  • C’est à vous de décider si vous souhaitez configurer les paramètres ou si vous souhaitez utiliser les paramètres par défaut.
  • Ceci est fait et vous êtes prêt à partir.

Connexion simple

Tout ce dont vous avez besoin est un nombre aléatoire à trois chiffres pour la connexion WordPress. Vous pouvez voir le numéro correct qui est affiché au-dessus du champ via un code JavaScript. La meilleure chose à propos du plugin est qu’il est compatible avec le formulaire de connexion WooCommerce.

À peu près comme tout autre plugin, il vous suffit d’installer et d’activer le plugin. Il manque des paramètres.

  • Tout d’abord, vous devez visiter vos plugins Ajouter un nouvel écran.
  • Vous pouvez rechercher le plugin en recherchant une connexion simple.
  • Appuyez sur le bouton « Installer maintenant » pour installer le plugin.
  • Appuyez sur le bouton « Activer » pour activer le plugin.

Désactivation de XML-RPC via.htaccess –

Parler du logiciel de serveur web Apache, .les fichiers htaccess modifient la configuration des fichiers. En conséquence, avant qu’il ne soit transmis à WordPress, les demandes d’accès sont désactivées.

Vous pouvez facilement désactiver xmlrpc dans WordPress en suivant les étapes mentionnées ci-dessous –

  • Avec l’aide du protocole de transfert de fichiers client – Filezilla, vous pouvez facilement accéder à votre site Web.
  • Maintenant, vous devez accéder.htaccess dans votre dossier racine.
  • Il peut y avoir une situation où les paramètres par défaut peuvent masquer le fichier. Si vous rencontrez une telle situation, allez dans les paramètres et appuyez sur le bouton « Afficher les dossiers cachés ». Vous devez vous assurer d’avoir enregistré les modifications. À ce stade, vous devriez pouvoir consulter votre fichier.
  • Une fois que vous avez ouvert le fichier, vous devez saisir le code mentionné ci-dessous –
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>

Enfin, enregistrez toutes les modifications que vous avez apportées et vous êtes prêt à partir.

Si vous avez encore des questions ou des doutes sur la façon de désactiver xmlrpc dans WordPress, vous pouvez nous contacter et notre équipe d’experts vous aidera.

Consultez également notre GUIDE SUR LES erreurs WordPress les plus courantes dans 2020

 correction des problèmes wordpress xmlrpc aide

Autres problèmes WordPress & Leurs correctifs:

  • Comment Réparer L’Écran Blanc de La Mort dans WordPress
  • Comment Réparer L’Erreur D’Autorisations De Fichiers Et De Dossiers WordPress
  • Comment Sécuriser Votre Site WordPress en 2020
  • Comment Supprimer « Ce Site Peut Être Piraté » De WordPress
  • Comment Supprimer Un Utilisateur Administrateur Caché Dans WordPress
  • Comment réparer « Le lien que vous avez suivi a expiré » dans WordPress
  • Comment réparer enfichable.erreurs de fichier php dans WordPress?
  • Comment réparer « Télécharger: Échec de l’écriture du fichier sur le disque « Erreur WordPress
  • Comment Réparer « Êtes-Vous sûr de vouloir le faire »WordPress
  • Comment Réparer l’Erreur de Service 503 Indisponible dans WordPres
  • Comment Corriger l’erreur d’analyse: Erreur de syntaxe dans WordPress?
  • Comment Réparer Le problème « Ce Compte A Été Suspendu »
  • Comment Supprimer Les Logiciels Malveillants Du site WordPress Piraté
  • Comment Réparer Le Piratage De Redirection De Logiciels Malveillants WordPress?
  • Comment Supprimer Favicon.ico hack dans WordPress

Cet article a été modifié pour la dernière fois le 7 septembre 2020