Disable XML-RPC-API for WordPress

Si vous exploitez un site WordPress depuis un certain temps, vous avez probablement entendu des histoires d'horreur selon lesquelles XML-RPC était une saison ouverte aux pirates ou aux robots qui martelaient votre connexion. Ouais, c'est ce qui m'a poussé à essayer Désactiver XML-RPC-API pour WordPress. Il s’agit d’un simple plugin qui ferme essentiellement l’interface XML-RPC ciblée par de nombreuses attaques, afin que votre site ne se jette pas dans la ligne de mire. Je n'étais pas sûr de l'importance de cela jusqu'à ce que je voie l'utilisation du processeur de mon serveur diminuer après l'avoir configuré. De plus, je me sentais simplement mieux en sachant qu'une porte supplémentaire était bien verrouillée.

Les bonnes choses

Ce qui m'a vraiment séduit, c'est la facilité de mise en place. Pas de configurations compliquées ni d'autorisations étranges. Il suffit d'installer, d'activer et l'accès boom-XML-RPC est désactivé. J’ai aussi aimé le fait qu’il ne bloque pas aveuglément xmlrpc.php. Vous pouvez mettre les adresses IP sur liste blanche si vous le souhaitez, ce qui est pratique si vous utilisez des applications distantes ou des services légitimes qui nécessitent toujours XML-RPC. De plus, il nettoie les liens pingback qui ne sont pas seulement ennuyeux mais peuvent également être exploités pour des attaques DDoS, c'est donc un bonus supplémentaire intéressant.

Un autre élément intéressant est la possibilité de renommer le slug XML-RPC ou de désactiver l'API JSON REST. Personnellement, je n’ai pas beaucoup joué avec cela, mais c’est bien d’avoir ces extras pour un peu plus de contrôle sur la façon dont votre site communique avec le monde extérieur. Et cacher votre version WordPress ? C'est toujours bon de laisser les hackers curieux deviner.

Le moins bon

Voici le problème : ce plugin est assez simple. Il n’y a pas de tableau de bord flashy ni de rappels constants, que certaines personnes pourraient trouver trop discrets. Si vous comptez beaucoup sur XML-RPC pour des choses comme Jetpack ou certaines applications mobiles, cela pourrait interrompre votre flux de travail à moins que vous ne manipuliez la liste blanche. De plus, il n’y a pas beaucoup d’informations sur qui a créé ceci ou à quelle fréquence il est mis à jour, ce qui m’a fait réfléchir au début. Les plugins de sécurité doivent rester précis, sinon ils risquent de devenir inutiles, j'aimerais donc y voir plus de transparence avant d'en dépendre à long terme.

Enfin, il n’existe pas d’essai gratuit ni de version premium, mais honnêtement, pour ce qu’il fait, c’est bien.

Conclusion

Si vous exploitez un site WordPress et souhaitez un moyen rapide et simple d'arrêter les attaques XML-RPC, Désactivez l'API XML-RPC pour WordPress vaut la peine d'être saisi. C’est gratuit, simple et une fois activé, vous pourrez probablement l’oublier pendant que votre serveur se détendra un peu plus. Ne vous attendez pas à ce qu’il remplace une suite de sécurité complète ou qu’il vous aide si vous avez besoin de XML-RPC pour des raisons légitimes. Pour la plupart des gens, en particulier ceux qui n’utilisent pas d’applications WordPress distantes, ce plugin fera l’affaire et gardera les choses un peu plus sûres sans problème.