Comment désactiver XML-RPC dans WordPress pour une meilleure sécurité

Sécurité Para / 7 février 2026
WordPress XML‐RPC désactiver le graphique du tutoriel

XML-RPC est une fonctionnalité WordPress qui permet l'accès à distance et la gestion de votre site, y compris l'affichage depuis les applications, Jetpack, et l'application mobile WordPress. Bien qu'utile dans le passé, elle est devenue un risque majeur pour la sécurité, car les agresseurs l'exploitent souvent pour des tentatives de connexion de force brute, des attaques DDoS et des inondations de pingback XML-RPC. Désactiver XML-RPC est l'une des mesures de sécurité les plus simples et les plus efficaces que vous pouvez prendre, surtout si vous n'utilisez pas d'outils de publication à distance. Chez Cope Business, nous recommandons toujours de désactiver XML-RPC (sauf si nécessaire) pendant notre services techniques d'audit SEO réduire la surface d'attaque et améliorer la protection globale du site.

Ce guide explique pourquoi vous devriez désactiver XML-RPC, quand il est sûr de le faire, et trois méthodes fiables pour l'éteindre dans WordPress.

Pourquoi désactiver XML-RPC en WordPress ?

  • Attaques de la force brute — XML-RPC permet des tentatives de connexion illimitées sans limitation de taux.
  • DDoS Amplification — Les attaquants peuvent utiliser des pingbacks pour surcharger votre serveur.
  • Pingback Spam — Permet aux spammeurs d'envoyer des spams de suivi automatisés.
  • Héritage & Non utilisé — La plupart des utilisateurs utilisent l'API REST (plus sécurisée) pour accéder à distance.
  • Performance et sécurité — Il réduit les demandes inutiles et les vulnérabilités potentielles.

Si vous utilisez Jetpack, l'application mobile WordPress ou l'édition à distance, vous pouvez avoir besoin d'activer XML-RPC – sinon, le désactiver est fortement recommandé.

Quand NE PAS désactiver XML-RPC

Ne l'activer que si vous utilisez activement:

  • Jetpack (certaines fonctionnalités nécessitent XML-RPC)
  • Applications mobiles WordPress
  • Outils d'affichage à distance (p. ex., Windows Live Writer, MarsEdit)
  • Certains plugins qui dépendent de XML-RPC

La plupart des alternatives modernes utilisent l'API REST, donc désactiver est sûr pour 90 utilisateurs%+ of.

3 Méthodes pour désactiver XML-RPC en WordPress

Méthode 1 : Utilisation d'un plugin (plus facile et recommandé)

Les plugins offrent un clic désactivant avec des avantages de sécurité supplémentaires.

Plugin recommandé: Désactiver XML-RPC (gratuit et simple)

  1. Installer et activer Désactiver XML-RPC de Plugins > Ajouter un nouveau.
  2. Qu'est-ce que c'est - le plugin désactive immédiatement toutes les requêtes XML-RPC.
  3. Pas besoin de configuration — cela fonctionne instantanément.

Autre: Tous en un WP Sécurité et pare-feu (gratuit) — Activer l'option de désactivation XML-RPC dans les paramètres.

Pour: Instantané, réversible, ajoute des couches de sécurité supplémentaires. Points négatifs: Ajoute un autre plugin (très léger).

Méthode 2: Désactiver via .htaccess (pas de plugin – plus fiable)

Cette méthode Apache bloque complètement l'accès à xmlrpc.php.

  • Accédez à votre site via FTP ou gestionnaire de fichiers d'hébergement.
  • Localiser .htaccess dans le répertoire racine (up first!).
  • Ajouter ce code en haut:
text# Disable XML-RPC <Files xmlrpc.php> order deny,allow deny from all </Files>
  • Enregistrer et télécharger.
  • Essai: Essayez d'accéder à votredomaine.com/xmlrpc.php — vous devriez voir une erreur 403 Interdite.

Remarque: Fonctionne uniquement sur les serveurs Apache. Pour NGINX, contactez votre hôte pour ajouter la règle équivalente.

Méthode 3 : Désactiver via Code dans functions.php (Custom & Lightweight)

Ajoutez ceci à votre thème enfant fonctions.php ou via le plugin WPCode:

PHP

add_filter( 'xmlrpc_enabled', '__return_false' );

Cela désactive XML-RPC complètement et en toute sécurité sans bloquer le fichier.

Pour: Pas de fichiers/plugins supplémentaires. Points négatifs: Nécessite un thème enfant ou un plugin d'extrait de code.

Comment vérifier que XML-RPC est désactivé

  • Visitez votredomaine.com/xmlrpc.php — devrait renvoyer 403 ou page vide.
  • Utilisez des outils en ligne comme xmlrpcpingback.com ou des scanners de sécurité.
  • Vérifiez les journaux de serveur pour les requêtes XML-RPC bloquées.

Conseils de sécurité supplémentaires

  • Combiner avec la limitation de la tentative de connexion (voir notre guide).
  • Activer 2FA et des mots de passe forts.
  • Gardez WordPress, thèmes et plugins mis à jour.
  • Utilisez un plugin de sécurité comme Wordfence pour la surveillance.

Désactiver XML-RPC est une victoire rapide qui réduit significativement le risque.

Réflexions finales

XML-RPC est une fonctionnalité héritée qui n'apporte plus d'avantages significatifs à la plupart des utilisateurs - la désactiver est une décision de sécurité intelligente. Utilisez un plugin pour la simplicité ou .htaccess/code pour une efficacité maximale.

Un site plus sécurisé est un site plus rapide et plus fiable.

Faire face à des problèmes de sécurité ou avoir besoin d'une vérification complète du site? Contacter Cope Business pour une consultation SEO technique gratuite — nous allons sécuriser votre site WordPress et l'optimiser pour la performance et la tranquillité d'esprit.

Cet article était - il utile?
OuiNuméro

Postes connexes