La sécurité du xmlrpc.php sur WordPress

Depuis le 1er Mars 2016, nous bloquons par défaut les requêtes externe sur le fichier xmlrpc.php pour tous les sites Wordpress hébergé sur nos serveurs mutualisés.

Ce fichier est par défaut bloqué depuis le 1er Mars 2016 sur notre infrastructure d'hébergement mutualisé. En effet, il est très souvent utilisé par les hackers pour tenter de pirater Wordpress et dernièrement une technique de brute-force qui consiste à tenter d'obtenir votre mot de passe admin à été détecté dernièrement. Sucuri.net a publié un article dernièrement faisant part d’une attaque de grande envergure qui pourrait donner aux pirates l’accès à votre blog.

Pour faire court, il s’agit d’une tentative pour forcer les connexions, en une seule tentative, afin de déterminer vos informations d’identification administrateur. Basé sur le nombre élevé de tentatives qu’un attaquant peut faire à chaque appel, ces tentatives sont 50 à 100 fois plus efficaces que les tentatives « normales » d’attaques par force brute.

Ces attaques ont été aperçu dernièrement sur nos serveurs. Nous avons donc réagi en conséquences.

Par contre cette protection peut être un problème pour quelques sites Wordpress (peu nombreux à ce que nous avons constaté). Si vous utiliser un module comme Akismet, ou Jetpack, vous aurez besoin de désactiver cette protection sur le xmlrpc.php de votre site sous Wordpress.

Pour le réactiver il vous suffit d'éditer le fichier .htaccess de votre site Wordpress et d'y insérer en bas ceci :

<FilesMatch "xmlrpc.php">
Order Allow,Deny
Allow from all
</FilesMatch>

Mais si vous le pouvez, activer seulement pour les adresses ip externe qui doivent accéder au fichier xmlrpc.php :

<FilesMatch "xmlrpc.php">
Order Deny,Allow
Deny from all
Allow from 142.4.219.186
Allow from 198.100.159
</FilesMatch>

  • 10 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Related Articles

Les mises à jours de Joomla

Si vous utilisez Joomla pour votre site web : il est IMPORTANT de faire les mises à jours...

Un site web a besoin d’entretien

Trop de gens paient pour les services d’un développeur afin de concevoir leur Site...

Forcer la redirection de http vers https

Pour que l'url de votre site se renomme en https au lieu de rester en http :Il vous suffit de...

Comment mettre en ligne son site web par FTP ?

Pour publier votre Site Web en ligne via le mode FTP,Commencez par télécharger un...

Protection contre un hacking

La plupart des comptes compromis sont dus à une vulnérabilité de commande...