Bannière Radiblog

XML-RPC : la petite porte que j’ai fermée après le piratage de Radiblog

Parradiblog

“La citation du jour : L’amour, c’est comme une tisane : faut laisser infuser.”



Quand on se fait pirater son blog, on passe par plusieurs phases :

  1. L’incompréhension.

  2. L’énervement.

  3. Le café.

  4. Beaucoup de café.

Puis vient la phase “inspection générale”.

Lors du piratage de Radiblog, j’ai passé tout mon site au peigne fin : thèmes, plugins, fichiers modifiés… et je suis tombé sur un vieux compagnon de WordPress : xmlrpc.php.

Honnêtement ? Je ne l’utilisais pas. Alors je l’ai désactivé.
Pas dans la panique. Dans la logique.

Parce que laisser actif un fichier dont on n’a pas besoin, c’est un peu comme laisser une fenêtre entrouverte “au cas où”… et les robots malveillants adorent les fenêtres entrouvertes.

XML-RPC, c’est quoi ?

xmlrpc.php est un fichier natif de WordPress qui permet à des applications ou logiciels externes de communiquer avec ton blog.
Il sert à :

  • Publier depuis un smartphone ou un logiciel hors ligne

  • Modifier des brouillons ou gérer les commentaires à distance

  • Utiliser certaines automatisations anciennes ou synchroniser du contenu

  • Envoyer et recevoir des pingbacks/trackbacks (notifier d’autres blogs qu’on les cite)

En résumé : pratique si tu publiais depuis une app externe… sinon, c’est souvent plus une porte d’entrée pour les pirates qu’un vrai besoin.

Comment désactiver XML-RPC

Méthode simple via .htaccess

Ajoute ceci dans ton fichier .htaccess avant la ligne # BEGIN WordPress :

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Et voilà. Porte verrouillée

Méthode via plugin de sécurité

Si tu utilises :

  • Wordfence

  • All In One WP Security & Firewall

  • iThemes Security

Ils proposent tous une option “Disable XML-RPC”.
Mais attention : certains plugins limitent les attaques sans bloquer totalement l’accès. D’où l’importance de vérifier.

Comment vérifier que c’est vraiment désactivé

Méthode : Test direct dans le navigateur

Tape dans ton navigateur :

https://votresite.fr/xmlrpc.php

  • Si tu vois : XML-RPC server accepts POST requests only → ❌ encore actif

  • Si tu vois : erreur 403 / 404 / page bloquée → ✅ bien désactivé

Pourquoi c’est une bonne idée

Depuis que je l’ai désactivé sur Radiblog :

  • Moins de tentatives suspectes dans les logs

  • Moins de stress

  • Meilleure tranquillité d’esprit

C’est un petit geste qui ferme une porte inutile… et ça compte.

Et si je voulais m’en servir ?

Tu aurais eu besoin de XML-RPC seulement si :

  • Tu publiais depuis un logiciel hors ligne ou une app externe

  • Tu avais une automatisation spécifique

  • Tu dépendais des pingbacks/trackbacks

Aujourd’hui, la majorité des usages passent par l’API REST intégrée ou des plugins modernes. XML-RPC, c’est un peu l’ancien portail resté ouvert.

Conclusion

  • On ferme la porte.

  • On vérifie les fenêtres.

  • On ne laisse pas les clés sous le paillasson.

Et si un fichier ne sert à rien ? On le désactive. Simple. Logique. Efficace.

Partagez, si vous avez aimé!!!

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *