Avant de vous recommander de supprimer une fonctionnalité sur WordPress, la moindre des choses est de vous expliquer à quoi elle est supposée servir ! Alors, la fonction XML-RPC sur WordPress, c’est quoi au juste ? Pourquoi devriez-vous la désactiver ? Et comment ?
Qu’est-ce que la fonction XML-RPC sur WordPress ?
Le protocole XML-RPC permet (ou plutôt permettait) à un site WordPress de publier et d’accéder à des contenus se trouvant sur un site WordPress à distance (depuis un autre système), et de communiquer avec d’autres systèmes.
XML-RPC : une fonction obsolète et énergivore… mais toujours intégrée à WordPress
Cette fonctionnalité était donc très utile, mais elle est désormais obsolète, énergivore, et présente des failles de sécurité importantes. Depuis 2016, elle est remplacée par REST API. Pourtant, la fonction XML-RPC est toujours active nativement (par défaut).
Comme toute fonction obsolète et/ou inutilisée, c’est une faille de sécurité pour votre site WordPress. XML-RPC augmente les risques de piratage de votre site : elle utilise notamment le mécanisme de transport HTTP, et non HTTPS.
C’est également une fonction très énergivore, qui consomme inutilement des ressources de votre serveur d’hébergement web, même si vous ne l’utilisez pas !
Heureusement, WP Trigone vous explique comment vous en débarrasser durablement en quelques clics !
Comment désactiver XML-RPC sur WordPress ?
Pour renforcer la sécurité de votre site WordPress et le rendre plus rapide, nous vous conseillons de désactiver cette fonction obsolète dès aujourd’hui !
- Ouvrez le panneau de contrôle de votre hébergement web.
- Ouvrez votre gestionnaire de fichiers.
- Ouvrez le fichier « .htacess ». Il peut se trouver à l’intérieur du dossier « /html-public/ » ou dans le dossier correspondant au nom de domaine du site que vous souhaitez configurer.
- Ouvrez l’éditeur de fichier.
- Placez le code suivant dans le fichier (au début ou à la fin) : Order Allow,Deny Deny from all
- Accédez à votre site depuis votre navigateur en ajoutant « /xmlrpc.php/ » à la fin de l’URL de votre nom de domaine. Si votre navigateur affiche un message d’erreur du type « Ce site est inaccessible », cela signifie que la fonction XML-RPC est bien désactivée.
Vous ne souhaitez pas vous en occuper vous-même ? Contactez-nous dès maintenant pour confier cette mission à un expert WP Trigone.
Comment remplacer XML-RPC par l’API REST ?
Pour interconnecter votre site WordPress avec d’autres systèmes, le plus simple est d’utiliser l’API REST. En fait, vous n’avez rien de spécial à faire pour l’installer : cette fonction est nativement intégrée à WordPress. Cependant, vous devrez l’activer pour pouvoir l’utiliser. C’est très simple !
- Activez la réécriture d’URL : sur votre tableau de bord WordPress, cliquez sur « Réglages » > « Permaliens » puis sélectionnez une option autre que « Simple ».
- Accédez à votre site depuis votre navigateur en ajoutant « /wp-json/ » à la fin de l’URL de votre nom de domaine. Si un script s’affiche, cela signifie que l’API REST fonctionne.
Aujourd’hui, l’API REST permet à WordPress de communiquer avec d’autres plateformes de blog, applications, clients d’ordinateurs de bureau, extensions… Cette fonction est bien plus flexible et sécurisée que sa prédécesseur. Alors, allégez votre site WordPress d’un poids inutile en désactivant XML-RPC sans plus attendre !
