« interface XML RPC pour utiliser les identifiants WordPress. Com accédez à tous les sites wordpress pour lesquels avez des droits d’utilisateur. Cela se fait par un appel de procédure à distance: Camp;rsquoest ce que représente le CPR. Et si quelquamp;rsquoun damp;rsquoautre avait mon mot de passe? La réponse namp;rsquoest pas bonne: damp;rsquoautres peuvent faire tout ce que pouvez sur votre site. Parce que, bien sûr, je suis toi. Tu te sens toujours mal? Autres mauvaises nouvelles: utilisez jetpack pour utiliser ses excellents outils sur votre site hébergé, beaucoup de ces merveilles utilisent également XML RPC.
Histoire: XML RPC devrait il être conservé ou aller à WordPress? Depuis le premier jour, le support XML RPC fait partie de WordPress. voulez être critique, cela fait partie de la préhistoire de WordPress Dans le cadre de la plateforme B2 créée par Matt Mullenweg pour créer WordPress. WordPress 2.6 est sorti le 15 juillet 2008. Activer XML RPC a été ajouté aux paramètres de publication à distance WordPress, par défaut à off. Une semaine plus tard, l’application WordPress a été publiée sur l’iphone et les utilisateurs ont été invités à changer les paramètres en « on».
Quatre ans après que l’application iPhone ait rejoint la famille, WordPress 3.5 a activé par défaut le support XML RPC et supprimé les paramètres du tableau de bord. Il est resté. Les principales faiblesses liées à XML RPC sont: les attaques violentes: un attaquant tente d’accéder à WordPress en utilisant xmlrpc. PHP et toutes les combinaisons nom damp;rsquoutilisateur mot de passe quamp;rsquoils peuvent saisir. Méthodes dans xmlrpc. Php permet à un attaquant de deviner des centaines de mots de passe en utilisant une seule commande (system.multicall). Daniel CID de sucuri lamp;rsquoa bien décrit en octobre 2015: « avec seulement 3 ou 4 requêtes http, un attaquant peut contourner
Attaques de déni de service via Pingback: en 2013, des attaquants ont envoyé des requêtes de Pingback via xmlrpc.php à environ 2500 sites wordpress pour
voulez assurer quamp;rsquoil namp;rsquoy a pas de bombe dans lamp;rsquoavion, devez faire la queue à travers le détecteur de métaux. voulez garder votre voiture pendant que magasinez, fermez les portes et les fenêtres. Vous ne pouvez même pas utiliser [E mail protection] pour bloquer votre site. Surtout si préférez utiliser jetpack ou une application mobile. Que puis je faire pour la sécurité XML RPC? Comprenez que le problème de sécurité namp;rsquoest pas seulement XML RPC, mais quamp;rsquoun attaquant peut lamp;rsquoutiliser comme une autre façon de forcer votre nom damp;rsquoutilisateur et votre mot de passe. La meilleure façon de protéger est donc damp;rsquoutiliser un mot de passe long et complexe (ou un gestionnaire de mot de passe qui peut créer un mot de passe pour ). Mais ce n’est pas toujours facile, surtout si interagissez avec wordpress sur différents ordinateurs.
La meilleure façon de protéger maintenant est de désactiver complètement XML RPC dans vos paramètres. Quelques ajouts au fichier. Htaccess peut bloquer lamp;rsquoaccès aux fichiers xmlrpc. Php. Voici comment faire. Remarque: vérifiez auprès de votre hôte Web leurs politiques pour les utilisateurs que créez et modifiez. Htaccess, puis changez. Vérifiez les fichiers. Htaccess existe. La documentation de lamp;rsquohôte Web indique la bonne direction.
Fonctionnement ce namp;rsquoest pas le cas, créez le fichier dans le dossier htdocs wordpress. Ouvrez le fichier dans un éditeur de texte et ajoutez le code suivant en haut: chargez le contenu raewrites 5d662cda874fcc8a8850b16b8df0e5dd pouvez simplifier ce processus en installant et en activant le plug in désactiver XML RPC.
Désactiver xmlrpc. Php ferme tous les outils qui utilisent ce fichier. Vous pouvez toujours utiliser WordPress sur votre téléphone ou votre tablette. Au lieu des applications mobiles, pouvez désactiver partiellement XML RPC dans WordPress, ce qui rend accro à tous ces outils qui dépendent de XML RPC. Je comprends vraiment que ne vouliez pas désactiver XML RPC, même temporairement. Voici quelques plug ins utiles pour bloquer les attaques XML RPC: seuls jetpack et damp;rsquoautres outils damp;rsquoautomatisation peuvent accéder au xmlrpc. Php via. Htaccess. Contrôle de la publication XML RPC: il suffit de restaurer les anciennes options de publication à distance dans le menu paramètres amp;gt Écrire. Themes Security, anti malware Security and brute force firewall, and all in one WP Security amp;amp firewall: These Universal Security Tools include brute force Protection in their free layers. Ils surveillent les tentatives de connexion répétées, quamp;rsquoelles utilisent ou non xmlrpc. PHP et interdire les sites Web qui semblent essayer damp;rsquoentrer. Depuis plusieurs années, jamp;rsquoutilise avec succès lamp;rsquooutil themes. Je remarquerai que wordfence, un plug in de sécurité majeur, a décidé de ne pas désactiver XML RPC. Mark écrit sur son blog:
Pour nous, désactiver XML RPC a un coût. Vous désactivez l’api principale dans WordPress. Nous avons brièvement fourni cette fonctionnalité, mais nous l’avons supprimée parce que la prévention des abus de l’api WordPress a été améliorée. De plus, lorsque lamp;rsquoapplication damp;rsquoun utilisateur samp;rsquoécrase parce quamp;rsquoelle namp;rsquoa pas accès à lamp;rsquoAPI, la possibilité de désactiver XML RPC peut créer de la confusion pour lamp;rsquoutilisateur. Repos (et oauth)
) savez peut être déjà que les principaux développeurs WordPress sont en train de convertir le Code WordPress en une application rest. Les développeurs de lamp;rsquoéquipe de lamp;rsquoAPI rest ont rencontré un certain nombre de problèmes de préparation, y compris une Section damp;rsquoauthentification pour résoudre les problèmes XML RPC. Lorsque cela se produira, namp;rsquoaurez pas besoin damp;rsquoutiliser XML RPC pour utiliser des applications mobiles ou jetpack.
Au lieu de cela, connecterez à lamp;rsquoapplication externe via le Protocole oauth. Vous ne savez peut être pas ce quamp;rsquoest oauth, mais si avez cliqué sur le bouton Twitter sur votre Post, avez utilisé oauth. Lorsque cliquez sur le bouton partage social, un écran https sécurisé demande de identifier sur Twitter, Facebook, LinkedIn ou toute autre personne. Saisissez le nom damp;rsquoutilisateur et le mot de passe du site que pouvez partager. Le propriétaire du site WordPress ne connaît pas le mot de passe de votre site social et personne ne peut intercepter les données lorsqu’elles sont envoyées. Ensuite, lamp;rsquoapplication sociale place un cookie dans le navigateur qui contient une clé et un secret qui permet aux sites distants de se connecter pendant un certain temps. Par conséquent, namp;rsquoavez pas à entrer vos justificatifs damp;rsquoidentité pendant le cookie.
Camp;rsquoest pourquoi oauth est meilleur, plus sûr et plus excitant que XML RPC: fondamentalement, namp;rsquoavez pas à partager votre mot de passe en texte clair sur Internet, et votre application mobile peut se connecter à votre site Web. Lamp;rsquoéquipe de lamp;rsquoAPI rest développe un agent damp;rsquoauthentification « Cela permettra de se connecter à l’un des nombreux sites WordPress. Testez l’api rest de WordPress comme je l’ai déjà dit, l’api rest n’a pas encore été intégrée au cœur de WordPress et ne sera pas intégrée dans quelques mois. Aujourd’hui, pouvez commencer à jouer sur des sites non productifs. Pour ce faire, obtenez des informations sur l’api rest (et comment WordPress peut changer pour toujours) Tom Evo. Lisez attentivement
XML RPC et pourquoi le supprimer pour la sécurité WordPress
