{"id":39899,"date":"2020-07-06T03:24:51","date_gmt":"2020-07-06T10:24:51","guid":{"rendered":"https:\/\/kinsta.com\/?p=65020"},"modified":"2024-10-08T13:29:25","modified_gmt":"2024-10-08T12:29:25","slug":"xmlrpc-php","status":"publish","type":"post","link":"https:\/\/kinsta.com\/fr\/blog\/xmlrpc-php\/","title":{"rendered":"Un guide complet sur le xmlrpc.php dans WordPress (infos, risques de s\u00e9curit\u00e9, d\u00e9sactiver)"},"content":{"rendered":"

La sp\u00e9cification XML-RPC WordPress a \u00e9t\u00e9 d\u00e9velopp\u00e9e pour normaliser la communication entre diff\u00e9rents syst\u00e8mes, ce qui signifie que des applications ext\u00e9rieures \u00e0 WordPress (telles que d’autres plateformes de blog<\/a> et des clients d\u2019ordinateurs de bureau) peuvent interagir avec WordPress.<\/p>\n

Cette sp\u00e9cification fait partie de WordPress depuis sa cr\u00e9ation<\/a> et a fait un travail tr\u00e8s utile. Sans elle, WordPress aurait \u00e9t\u00e9 dans son propre silo, s\u00e9par\u00e9 du reste de l’internet.<\/p>\n

Cependant, le xmlrpc.php a ses inconv\u00e9nients. Il peut introduire des vuln\u00e9rabilit\u00e9s<\/a> sur votre site WordPress et a \u00e9t\u00e9 remplac\u00e9 par l’API REST de WordPress<\/a>, qui permet d’ouvrir beaucoup mieux\u00a0WordPress \u00e0 d\u2019autres applications.<\/p>\n

Dans cet article, nous allons expliquer ce qu’est le xmlrpc.php, pourquoi vous devriez le d\u00e9sactiver, et vous aider \u00e0 d\u00e9terminer s’il fonctionne sur votre site WordPress.<\/p>\n

Pr\u00eats ? Plongeons !<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Qu’est-ce que le xmlrpc.php ?<\/h2>\n

XML-RPC est une sp\u00e9cification qui permet la communication entre WordPress et d’autres syst\u00e8mes. Pour ce faire, elle a normalis\u00e9 ces communications, en utilisant HTTP comme m\u00e9canisme de transport et XML comme m\u00e9canisme de codage.<\/p>\n

Le XML-RPC est ant\u00e9rieur \u00e0 WordPress : il \u00e9tait pr\u00e9sent dans le logiciel de blogging b2, qui a \u00e9t\u00e9 fork\u00e9 pour cr\u00e9er WordPress en 2003. Le code \u00e0 l’origine du syst\u00e8me est stock\u00e9 dans un fichier appel\u00e9 xmlrpc.php<\/strong>, dans le r\u00e9pertoire racine du site. Et il est toujours l\u00e0, m\u00eame si XML-RPC est largement d\u00e9pass\u00e9.<\/p>\n

Dans les premi\u00e8res versions de WordPress, le XML-RPC \u00e9tait d\u00e9sactiv\u00e9 par d\u00e9faut. Mais depuis la version 3.5, il est activ\u00e9 par d\u00e9faut. La principale raison en \u00e9tait de permettre \u00e0 l’application mobile de WordPress de communiquer avec votre installation WordPress<\/a>.<\/p>\n

Si vous utilisiez l’application mobile WordPress avant la version 3.5, vous vous souvenez peut-\u00eatre d’avoir d\u00fb activer le XML-RPC sur votre site pour que l’application puisse afficher du contenu. En effet, l’application n’ex\u00e9cutait pas WordPress lui-m\u00eame, mais \u00e9tait une application distincte communiquant avec votre site WordPress \u00e0 l’aide du xmlrpc.php.<\/p>\n

Mais le XML-RPC n’a pas \u00e9t\u00e9 utilis\u00e9 uniquement pour l’application mobile : il a \u00e9galement permis la communication entre WordPress et d’autres plateformes de blogs, il a permis les trackbacks<\/a> et pingbacks,<\/a> et il a aliment\u00e9 l\u2019extension Jetpack<\/a> qui relie un site WordPress auto-h\u00e9berg\u00e9 \u00e0 WordPress.com<\/a>.<\/p>\n

Mais depuis que l’API REST a \u00e9t\u00e9 int\u00e9gr\u00e9e dans le noyau de WordPress, le fichier xmlrpc.php n’est plus utilis\u00e9 pour cette communication. \u00c0 la place, l’API REST est utilis\u00e9e pour communiquer avec l’application mobile WordPress, avec les clients d\u2019ordinateurs de bureau, avec d’autres plateformes de blogs, avec WordPress.com<\/a> (pour l\u2019extension Jetpack) et avec d’autres syst\u00e8mes et services. L’\u00e9ventail des syst\u00e8mes avec lesquels l’API REST peut interagir est beaucoup plus large<\/a> que celui autoris\u00e9 par le xmlrpc.php. La flexibilit\u00e9 est \u00e9galement beaucoup plus grande.<\/p>\n

Comme l’API REST a remplac\u00e9 XML-RPC, vous devez maintenant d\u00e9sactiver le xmlrpc.php sur votre site. Voyons pourquoi.<\/p>\n

Pourquoi vous devriez d\u00e9sactiver le xmlrpc.php<\/h2>\n

La principale raison pour laquelle vous devriez d\u00e9sactiver le xmlrpc.php sur votre site WordPress est qu’il introduit des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9<\/a> et peut \u00eatre la cible d’attaques.<\/p>\n

Maintenant que le XML-RPC n’est plus n\u00e9cessaire pour communiquer en dehors de WordPress, il n’y a plus de raison de le maintenir actif. C’est pourquoi il est judicieux de rendre votre site plus<\/a> s\u00fbr en le d\u00e9sactivant.<\/p>\n

Si le xmlrpc.php est un probl\u00e8me de s\u00e9curit\u00e9 et qu’il ne fonctionne plus, pourquoi n’a-t-il pas \u00e9t\u00e9 compl\u00e8tement supprim\u00e9 de WordPress ?<\/p><\/blockquote>\n

La raison en est que l’une des principales caract\u00e9ristiques de WordPress sera toujours la r\u00e9trocompatibilit\u00e9. Si vous g\u00e9rez bien votre site<\/a>, vous savez qu’il est essentiel de maintenir WordPress \u00e0 jour<\/a>, ainsi que toutes les extensions<\/a> ou th\u00e8mes<\/a>.<\/p>\n

Mais il y aura toujours des propri\u00e9taires de sites web qui ne voudront ou ne pourront pas mettre \u00e0 jour leur version de WordPress. S’ils utilisent une version ant\u00e9rieure \u00e0 l’API REST, ils devront toujours avoir acc\u00e8s au xmlrpc.php.<\/p>\n

Examinons plus en d\u00e9tail les vuln\u00e9rabilit\u00e9s sp\u00e9cifiques.<\/p>\n