Suite notamment à la recrudescence des tentatives de hack par le biais du xmlrpc qu’à constaté sucuri, je me suis dit qu’il est temps de passer à l’action. Alors voici comment je me protège, du moins mes sites internet .. 😉
Premièrement parlons de l’inculpé, le xmlrpc, qui permet de faire de la contribution sur les smartphones/tablettes entre autre. Par le biais de ce dernier les hackers pouvait réaliser des attaques DDoS plus importantes et impactantes. Aujourd’hui, pour faire simple, c’est comme si il était possible de faire plusieurs attaques DDoS en une. Je vous invite à jeter un coup d’oeil sur cet article pour comprendre comment ces dernières fonctionnent, ceci pour vous sensibiliser sur le fait que de base c’est une arme redoutable, et que maintenant c’est une arme imparable, mais pas pour tous.
Il existe deux manières de le désactiver :
- par le méthode plugin : Disable XML-RPC
- soit programmatiquement avec un mu-plugin et une règle .htaccess, expliqué ci-après.
Désactiver le xmlrpc par le mu-plugin et une règle .htaccess :
Premièrement, on le désactive en utilisant un mu-plugin réalisé par BeAPI :
[pastacode lang= »php » message= » » highlight= » » provider= »manual » manual= »%2F*%20Plugin%20Name%3A%20Disable%20XMLRPC%0A%20%20Plugin%20URI%3A%20http%3A%2F%2Fwww.beapi.fr%0A%20%20Description%3A%20Remove%20XMLRPC%20from%20header%2C%20remove%20feature%20from%20WP%0A%20%20Author%3A%20BeAPI%0A%20%20Author%20URI%3A%20http%3A%2F%2Fwww.beapi.fr%0A%20%20Version%3A%200.1%0A*%2F%0A »/]
[pastacode lang= »php » message= » » highlight= » » provider= »manual » manual= »function%20bea_remove_x_pingback(%24headers)%20%7B%0A%09unset(%24headers%5B’X-Pingback’%5D)%3B%0A%09return%20%24headers%3B%0A%7D%0A%0Aadd_filter(%20’wp_headers’%2C%20’bea_remove_x_pingback’%20)%3B%0Aadd_filter(%20’xmlrpc_enabled’%2C%20’__return_false’%20)%3B%0Aremove_action(%20’wp_head’%2C%20’rsd_link’%20)%3B »/]
Deuxièmement, masquer la « visibilité » de ce fichier par le biais du htaccess. Il faut pouvoir avoir la main sur le htaccess, et dans le cas contraire, pas d’inquiétudes, on va dire que ce n’est qu’un bonus si la première étape à été réalisée.
[pastacode lang= »markup » message= » » highlight= » » provider= »manual » manual= »%23%20START%20Disable%20xmlrpc%0A%3CIfModule%20mod_alias.c%3E%0A%20%20RedirectMatch%20403%20%2Fxmlrpc.php%0A%3C%2FIfModule%3E%0A%23%20END%20Disable%20xmlrpc »/]
Voila, aussi simple que cela, vous êtes protégés de ce côté-ci, mais je vous invite à réaliser les autres étapes pour sécuriser votre site.
Bonus : le xmlrpc rend vulnérable nos sites et il est même possible qu’un jour il disparaisse de WP. J’ai été glaner cette rumeur sur l’article « It’s Time for XML-RPC in WordPress to Hit the Road » de WP Taverne qui nous en parle en anglais.
