Comment bloquer les attaques de force brute sur le fichier xmlrpc.php sous WordPress?

xmlrpc comment se proteger
Partager sur

Si vous avez actuellement un site en production sous WordPress et que vous n’avez rien fait pour bloquer l’accès à votre fichier xmlrpc.php, il est fort probable qu’il soit à découvert.

tony stark explosion en fond

XMLRPC c’est quoi au juste ?

La technologie XML-RPC repose sur deux autres qui sont tous simplement l’XML (Extensible Markup Language) et le protocole RPC (Remote Procedure Calling).

Pour faire simple et pas partir dans du langage technique compliqué et ennuyeux, c’est un système qui permet à d’autres applications web mobile ou autres de communiquer avec votre WordPress en l’occurrence, sans se soucier des différents langages de chacun, c’est comme une langue universelle utilisée par tous.

Ceci dit nous sommes en 2020 et aujourd’hui et ce depuis de nombreuses années WordPress à implémenter l’API REST qui est bien plus moderne et efficace.

Mais WordPress étant fidèle à ses principes cherche toujours à maintenir la compatibilité avec ses anciennes versions et donc aujourd’hui la techno XMLRPC reste activé par défaut sur toutes les installation de WordPress.

 

Mais alors en quoi est-ce dangereux ?

Les hackers se servent du fichier XMLRPC pour lancer des attaques de force brute sur votre WordPress, c’est-à-dire qu’il vont envoyer à la chaîne des milliers de mots de passe sur votre site afin de découvrir le mot de passe de votre compte admin.

hack

Comment savoir si nous sommes victimes de ce type d’attaque ?

Un moyen de voir si votre site subit des attaques ou du moins des tentatives d’attaque par le XMLRPC est de regarder les logs de sur votre hébergeur, de faire “rechercher dans la page” et de taper “xmlrpc.php”.

 

Si vous en trouvez, c’est que des tentatives sont effectué par des hackers, personne ne se retrouve sur cette page par hasard normalement !

Comment vérifier que je suis protégé ?

Pour cela rien de plus simple il vous suffit de prendre l’URL de votre site exemple “https://monsupersite.fr” et d’ajouter à cette URL “/xmlrpc.php” ce qui nous donne dans notre exemple “https://monsupersite.fr/xmlrpc.php”.

 

Si vous arrivez sur une page avec écrit : “XML-RPC server accepts POST requests only.” cela ne sent pas bon du tout la porte est grande ouverte.

xmlrpc porte ouverte

Si vous arrivez sur une erreur 403 ou 404 alors vous pouvez soufflez vous êtes en sécurité sur ce point-là.

xmlrpc porte fermé

Comment se protéger et bloquer l’accès au xmlrpc ?

Solution 1: Via le .htaccess (recommandé)

Rendez-vous sur votre FTP et éditer votre fichier .htaccess à la racine de votre site en y ajouter les lignes suivantes.

				
					# 403 Forbidden access on xmlrpc.php
<Files xmlrpc.php>
	order deny,allow
	deny from all
	# Allow from 123.123.123.123 # Décommenter et ajouter vos IPs que vous désirez Whitelister (enlevez le # avant "allow" et remplacez l'Ip)
</Files> 
				
			

Solution 2: Avec le plugin Manage XML-RPC

Installer Manage XML-RPC sur votre back office WordPress et cochez les cases suivantes:
-Disable XML-RPC Pingback
-Disable XML-RPC

Conclusion

Voilà normalement maintenant votre site ne présente plus la faille XMLRPC, en espérant que vous ayez pris ces mesures avant un éventuel hack sur votre site.

Réservez un coaching WordPress

Vous avez besoin de conseils pour votre projet sous WordPress.

Ces articles pourraient vous intéresser

👇 Me contacter 👇