WordPress Désactiver XMLRPC : Guide Complet (Via Code ou Plugin)
Vous recherchez un plugin WordPress pour désactiver XMLRPC ? Ou peut-être souhaitez-vous désactiver XMLRPC manuellement via un extrait de code court ? Ne cherchez pas plus loin car dans cet article nous allons vous montrer comment désactiver XMLRPC en utilisant les deux méthodes.
Mais avant de nous plonger dans les étapes des deux méthodes, nous allons essayer de répondre à certaines questions de base auxquelles vous pensez probablement, comme :
- Quelle est la taille d’une menace pour la sécurité XMLRPC ?
- Pourquoi existe-t-il en premier lieu?
- La désactivation du XMLRPC est-elle suffisante ?
Soyez assuré que nous répondrons à toutes vos questions brûlantes. Maintenant, commençons. Voici ce que nous allons couvrir :
📚 Table des matières :
Quand ne pas désactiver XMLRPC ?
Le XMLRPC a été développé pour permettre à WordPress de communiquer avec d’autres systèmes. Par exemple, l’utilisation de l’application WordPress sur votre mobile nécessite XMLRPC.
De nos jours, vous n’avez pas vraiment besoin de XMLRPC à cause de l’API REST qui transfère désormais les données entre WordPress et d’autres systèmes.
Cela dit, XMLRPC est toujours inclus dans une installation WordPress en raison de rétrocompatibilité. Nous savons tous qu’il est extrêmement important de maintenir votre site Web à jour, mais il existe des cas dans lesquels les propriétaires de sites Web décident de retarder les mises à jour. Et si leur site s’exécute sur une version antérieure à l’API REST, il est préférable de garder le fichier XMLRPC activé.
Cependant, comme vous le savez peut-être déjà, le plus gros inconvénient de garder le fichier XMLRPC activé est qu’il est connu pour introduire des vulnérabilités sur un site Web WordPress. Par conséquent, nous vous suggérons fortement d’installer un plugin de sécurité WordPress sur votre site pour tenir les pirates à distance.
Vous voudrez peut-être conserver le fichier PHP (c’est-à-dire XMLRPC.php) lorsque vous utilisez une application qui ne peut pas accéder à l’API REST mais peut accéder au XMLRPC. Dans ce cas particulier, XMLRPC n’est qu’une solution temporaire et nous vous recommandons vivement de trouver une application compatible avec l’API REST.
Maintenant que vous savez quand ne pas désactiver le XMLRPC, examinons toutes les raisons valables pour lesquelles vous devriez désactiver le fichier PHP :
La raison courante pour désactiver le fichier XMLRPC est qu’il rend votre site Web vulnérable aux attaques de piratage, comme les attaques DDoS et les attaques par force brute. Le fichier PHP a également tendance à utiliser une grande partie des ressources de votre serveur, ce qui rend votre site Web extrêmement lent.
Certains plugins, comme Jetpack, sont connus pour rencontrer des problèmes avec XMLRPC.

Donc, si vous souhaitez désactiver le fichier XMLRPC, suivez les étapes ci-dessous.
Comment désactiver XMLRPC
Il existe deux manières de désactiver le fichier XMLRPC. Vous pouvez le faire en utilisant un plugin ou manuellement. Nous couvrons les deux méthodes ci-dessous. Plongeons dedans…
Important – Avant de poursuivre, effectuez une sauvegarde de l’intégralité de votre site Web. Pour suivre ce tutoriel, vous devez installer un plugin ou modifier vos fichiers WordPress. Les sites Web sont souvent connus pour se casser lorsqu’un nouveau plugin est installé et la modification des fichiers est une entreprise risquée. Les sauvegardes sont un filet de sécurité sur lequel vous pouvez vous rabattre lors de circonstances malheureuses. Assurez-vous donc de faire une sauvegarde avant de continuer.
WordPress désactive XMLRPC avec un plugin
Il existe de nombreux plugins qui désactiveront XMLRPC sur votre site WordPress. Dans ce tutoriel, nous allons utiliser le plus populaire : Désactiver XML-RPC. Si vous ne pouvez pas l’utiliser, vous pouvez essayer l’une des alternatives suivantes :
Conseil de pro : Avez-vous un plugin de sécurité installé sur votre site Web ? Demandez ensuite si vous pouvez désactiver XMLRPC à l’aide de ce plug-in de sécurité. Par exemple, iThemes peut désactiver XMLRPC en un clic.
Maintenant, désactivons XMLRPC en utilisant le plugin Disable XML-RPC.
Téléchargez et installez le Désactiver XML-RPC plugin sur votre site WordPress. Et c’est tout. Le plugin désactivera automatiquement le fichier PHP sans que vous ayez à lever le petit doigt.
L’utilisation de plugins est un excellent moyen de résoudre les problèmes sur un site Web WordPress, mais l’installation de plugins présente un inconvénient. Cela consomme beaucoup de ressources de votre serveur. C’est pourquoi la méthode manuelle pourrait être préférable à de nombreux propriétaires de sites Web.
WordPress désactiver XMLRPC manuellement
Il existe trois façons de désactiver manuellement le XMLRPC. Vous pouvez le faire en utilisant un filtre ou en modifiant les fichiers de configuration .htaccess ou Ngnix. Essayons-les tous.
Désactiver à l’aide du fichier .htaccess
Pour éditer le fichier .htaccess, vous devrez ouvrir votre compte d’hébergement, allez sur cPanel → Gestionnaire de fichiers → public_html → .htaccess. Faites simplement un clic droit et sélectionnez Éditer sur le fichier .htaccess. Insérez ensuite le code suivant à la fin du fichier :
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
N’oubliez pas de cliquer sur enregistrer avant de fermer la fenêtre ou l’onglet.

Remarque latérale : Si vous ne vous êtes jamais occupé du backend de votre site Web WordPress, la modification du fichier .htacess sera une tâche ardue. Nous vous recommandons d’en savoir plus sur les fonctions et l’importance du fichier, puis d’essayer différentes méthodes pour modifier le fichier .htaccess.
Désactiver à l’aide du fichier de configuration Ngnix
Avant de vous montrer les étapes, voici un avertissement. Cette méthode particulière n’est efficace que si votre site Web est hébergé sur un serveur Nginx.
Vous ne savez pas si votre site Web est hébergé sur Nginx ? Voici comment vous pouvez le savoir :
1. Faites un clic droit n’importe où sur votre site Web, puis sélectionnez Inspecter.
2. Allez à Réseau et il vous sera demandé de recharger le site Web. Ensuite, sélectionnez Tous.

3. Une liste de données apparaît sous une section appelée Nom. Cliquez sur sur l’une des données et sur le panneau latéral, accédez à entête et faites défiler vers le bas. Vous devriez voir le nom de votre serveur.

Si votre site est hébergé sur Ngnix, passez à l’étape suivante.
Ouvrez le fichier de configuration Nginx et insérez le code suivant dans le fichier :
location ~* ^/xmlrpc.php$ {
return 403;
}
Après avoir enregistré les paramètres, si vous ouvrez le fichier XMLRPC à partir de l’interface de votre site Web, une erreur 403 sera générée. Voir par vous-même. Ajoutez simplement /xmprpc.php ( à la fin de votre site Web et appuyez sur Entrée.
Désactiver à l’aide d’un filtre
Vous pouvez désactiver le fichier XMLRPC en écrivant un plugin, puis en ajoutant le filtre suivant au plugin et en vous assurant que le plugin est installé et activé sur votre site Web.
add_filter( 'xmlrpc_enabled', '__return_false' );
Comme vous pouvez le comprendre, cette option particulière est idéale pour les développeurs. Pour les personnes ayant des capacités techniques ordinaires, nous suggérons les options de fichier config ou .htaccess.
Rien n’a fonctionné ?
Si vous avez essayé les étapes que nous avons montrées dans cet article mais que vous n’avez pas pu obtenir les résultats souhaités, parlez-en à votre fournisseur d’hébergement. Ils devraient être en mesure de vous dire ce qui ne va pas et comment désactiver XMLRPC sur votre site WordPress.
Conclusion
La désactivation de XMLRPC garantira que votre site Web est protégé contre certains types d’attaques de piratage, comme les attaques DDoS et les attaques par force brute. Mais il existe de nombreuses autres façons d’envahir votre site Web, nous vous recommandons donc de suivre notre guide sur la sécurité WordPress pour assurer une protection complète de votre site WordPress.