wordpress Archives - OVHcloud Blog

Gestion de l’obsolescence et sécurité : un exemple pour WordPress

Christophe Brunet — Tue, 04 Feb 2025 09:50:25 +0000

Comprendre l’utilité passée et les risques actuels du fichier xmlrpc.php, ainsi que les bonnes pratiques pour sécuriser votre site.

Le fichier xmlrpc.php est un composant historique de WordPress. Bien qu’il ait été essentiel il y a quelques années, son utilité a largement diminué avec l’évolution de la plateforme. Ce fichier est aujourd’hui souvent perçu comme une porte dérobée pour les attaques informatiques, rendant sa gestion cruciale pour la sécurité de votre site.

Cependant, ce cas n’est pas isolé. De nombreux outils ou fonctionnalités peuvent devenir obsolètes ou présenter des risques avec le temps. Il est donc indispensable de maintenir une vigilance constante pour identifier et traiter ces failles potentielles.

Dans cet article, nous allons décrire brièvement le rôle historique de xmlrpc.php, examiner les risques qu’il représente et mettre en lumière des solutions pour le désactiver ou le sécuriser. Ceci, tout en soulignant l’importance de l’adoption d’alternatives modernes.

Qu’est-ce que xmlrpc.php ?

Le fichier xmlrpc.php est une interface permettant à WordPress de communiquer avec d’autres services ou applications via le protocole XML-RPC. À l’origine, il facilitait des fonctionnalités comme :

la publication de contenu via des outils tiers (logiciels de bureautique, scripts automatiques, etc.) ;
la gestion mobile des sites, à l’image de l’ancienne application WordPress pour smartphones.

Depuis la création de l’API REST de WordPress, plus moderne et sécurisée, le fichier xmlrpc.php a perdu son utilité. Pour la majorité des personnes administrant un site WordPress, il est même désormais considéré comme obsolète.

Pourquoi xmlrpc.php est-il problématique ?

Ce fichier présente aujourd’hui des failles qui en font une cible privilégiée pour les cyberattaques.

Attaques par force brute : des individus malintentionnés peuvent exploiter le fichier pour tenter un nombre illimité de connexions, en combinant des noms d’utilisateur et mots de passe.
Amplification des attaques DDoS : certaines fonctionnalités de xmlrpc.php permettent d’envoyer de nombreuses requêtes en un seul appel, multipliant ainsi la charge sur le serveur.
Exploitation des failles logicielles : si votre WordPress ou vos extensions ne sont pas à jour, ce fichier peut être utilisé pour exécuter des commandes malveillantes.

Comment désactiver xmlrpc.php ?

Heureusement, désactiver ce fichier est à la fois simple et sans impact pour la majorité des sites WordPress. Voici différentes méthodes adaptées à vos besoins.

En modifiant le fichier .htaccess (solution préférée)

Si vous avez accès aux fichiers de votre site, vous pouvez empêcher les requêtes vers xmlrpc.php en ajoutant les lignes suivantes dans le fichier .htaccess (situé à la racine de votre site) :

Order Allow,Deny
Deny from all

Avantage : méthode directe et légère.

Inconvénient : nécessite une certaine prudence, car une erreur dans le fichier .htaccess peut affecter l’ensemble du site.

Via un plugin

Vous recherchez une solution clés en main ? Des extensions comme Disable XML-RPC-API permettent de désactiver rapidement xmlrpc.php sans toucher au code.

Avantage : facilité et gain de temps.

Inconvénient : dépendance à un plugin supplémentaire.

En configurant votre serveur

Pour les personnes administratrices disposant d’un hébergement dédié ou d’un VPS, il est possible de bloquer l’accès à xmlrpc.php au niveau du serveur. Par exemple, sur Apache :

Require all denied

Ou sur Nginx :

location = /xmlrpc.php {
deny all;
}

Avantage : solution idéale pour les environnements à forte charge.

Inconvénient : requiert des connaissances techniques.

Quelles sont les alternatives à xmlrpc.php ?

Plusieurs solutions simples peuvent être envisagées si vous avez besoin des fonctionnalités offertes par xmlrpc.php.

Utiliser l’application mobile WordPress moderne

L’application officielle WordPress pour iOS et Android utilise désormais l’API REST au lieu de xmlrpc.php. Assurez-vous que votre site est configuré correctement pour permettre cette transition. La plupart des hébergements récents, comme ceux proposés par OVHcloud, supportent cette fonctionnalité par défaut.

Adopter des outils compatibles avec l’API REST

De nombreuses solutions de publication à distance ont été mises à jour pour utiliser l’API REST, qui est plus sécurisée et mieux adaptée aux besoins actuels. Vérifiez si vos outils favoris offrent cette compatibilité et, le cas échéant, mettez-les à jour.

Sécuriser xmlrpc.php en cas de besoin spécifique (en dernier recours)

Si vous ne pouvez vraiment pas vous passer de xmlrpc.php, il est crucial de limiter son exposition aux menaces. Voici quelques bonnes pratiques :

restreindre l’accès à certaines adresses IP via .htaccess ou la configuration serveur ;
utiliser un plugin de sécurité pour limiter les requêtes XML-RPC (ex. le nombre de connexions en un temps donné) ;
mettre en place une authentification forte, comme l’authentification à deux facteurs, pour renforcer la sécurité des connexions.

Cette solution est considérée comme non recommandée, car elle laisse tout de même une surface d’attaque accessible. Elle doit être réservée aux cas où l’utilisation de xmlrpc.php est indispensable. Gardez aussi à l’esprit que ces ajustements ne remplacent pas une migration vers des outils modernes comme l’API REST.

Protégez votre site WordPress tout en restant à jour

Vous connaissez désormais mieux le rôle historique et les enjeux de sécurité liés au fichier xmlrpc.php. N’oubliez pas que la sûreté de votre site repose sur une vigilance constante : surveillez les mises à jour de WordPress et de ses extensions, lisez attentivement leurs notes de version pour repérer tout changement susceptible d’affecter la sécurité de votre environnement.

Besoin d’un coup de main supplémentaire ? Rejoignez notre communauté sur Discord ou consultez notre documentation WordPress pour aller plus loin dans la sécurisation et l’optimisation de votre site.

Managing obsolescence and security: an example in WordPress

Christophe Brunet — Tue, 04 Feb 2025 09:46:12 +0000

Understanding the past usefulness and current risks of the xmlrpc.php file, as well as best practices for securing your website.

The xmlrpc.php file is a historical component of WordPress. Although it was essential a few years ago, its usefulness has greatly diminished as the platform has evolved. This file is now often perceived as a back door for cyberattacks, meaning that it is crucial to manage it to ensure that your website stays secure.

However, this is not an isolated case – many other tools or features can become obsolete or risky over time, so it is important to stay alert to identify and address any potential vulnerabilities.

In this article, we will briefly describe the historical role of xmlrpc.php, examine the risks it poses, and highlight solutions for disabling or securing it. We’ll also emphasise the importance of embracing modern alternatives.

What is xmlrpc.php?

The xmlrpc.php file is an interface for WordPress to communicate with other services or applications via the XML-RPC protocol. Initially, it facilitated features such as:

Publishing content via third-party tools (e.g. desktop software, automated scripts)
Mobile website management, such as the old WordPress app for smartphones

Since the creation of the more modern and secure WordPress REST API, the xmlrpc.php file has lost its usefulness. For most people who manage a WordPress website, it is now even considered obsolete.

Why is xmlrpc.php problematic?

This file now has vulnerabilities that make it a prime target for cyberattacks.

Brute-force attacks: individuals can exploit the file to attempt an unlimited number of connections, using a combination of usernames and passwords.
Amplification of DDoS attacks: certain features of xmlrpc.php allow multiple requests to be sent in one go, thus increasing the load on the server.
Exploitation of software vulnerabilities: if your WordPress or plugins are not up to date, this file can be used to run malicious commands.

How do I disable xmlrpc.php?

Fortunately, disabling this file is simple and does not affect most WordPress websites. Here are some different methods, depending on your needs.

Modify the .htaccess file (preferred solution)

If you have access to files on your site, you can prevent queries to xmlrpc.php by adding the following lines to the .htaccess file (located at the root of your site):

Order Allow,Deny
Deny from all

Advantage: direct and light-handed method.

Disadvantage: requires some care, as an error in the .htaccess file can affect the entire website.

Via a plugin

Looking for a turnkey solution? Extensions like Disable XML-RPC-API allow you to quickly disable xmlrpc.php without touching the code.

Advantage: easy and time-saving.

Disadvantage: reliance on an additional plugin.

Configure your server

For administrators with a dedicated hosting plan or a VPS, it is possible to block access to xmlrpc.php at the server level. For example, on Apache:

Require all denied

Or on Nginx:

location = /xmlrpc.php {
deny all;
}

Advantage: ideal solution for high-load environments.

Disadvantage: requires technical knowledge.

What are the alternatives to xmlrpc.php?

There are several simple solutions you can consider if you need the functionality offered by xmlrpc.php.

Use the modern WordPress mobile app

The official WordPress application for iOS and Android now uses the REST API instead of xmlrpc.php. Make sure your site is configured correctly to allow this transition. Most recent web hosting plans, such as those offered by OVHcloud, support this feature by default.

Adopt tools compatible with the REST API

Many remote publishing solutions have been updated to use the REST API, which is more secure and better suited to current needs. Check if your favourite tools offer this compatibility, and update them if necessary.

Secure xmlrpc.php in case you specifically need it (as a last resort)

If you really can’t do without xmlrpc.php, it’s crucial to limit its exposure to threats. Here are some best practices:

restrict access to certain IP addresses via .htaccess or server configuration
use a security plugin to limit XML-RPC requests (e.g. the number of connections in a given time)
implement strong authentication, such as two-factor authentication, to enhance connection security

This solution is not recommended, as it still leaves an accessible attack surface. It should be reserved for cases where the use of xmlrpc.php is still essential. Also keep in mind that these adjustments are not a substitute for migrating to modern tools like the REST API.

Protect your WordPress website while staying up to date

Hopefully, you are now more familiar with the historical role of xmlrpc.php and its associated security issues. Keep in mind that keeping your website safe requires constant vigilance – so check for updates to WordPress and its plugins, and read their release notes carefully for any changes that could affect the security of your environment.

Need some extra help? Join our community on Discord, or check out our WordPress documentation to go even further in securing and optimising your site.