web-dev-qa-db-fra.com

Supprimer simplement le fichier XMLRPC

Je n'ai jamais utilisé XMLRPC pour aucune activité de mes sites WordPress et je ne le ferai pas non plus.

Il existe de nombreux articles sur la désactivation de XMLRPC sur votre site pour plus de sécurité. Dans le scénario d'utilisation dont j'ai parlé, dans le cas où ce service n'est pas requis, pourquoi le dissocier ou le rendre plus sécurisé? Je souhaite simplement supprimer le xmlrpc.php. Cela entraînera-t-il des erreurs si je le supprime?

xml-rpc
1
Rajesh Kakkad

Vous ne devez pas supprimer ce fichier - il sera restauré après la mise à jour - sa suppression n'a donc aucun sens (et ne devrait pas être traitée comme une correction de sécurité).

Vous pouvez désactiver XMLRPC en utilisant un filtre:

add_filter('xmlrpc_enabled', '__return_false');

Et même bloquer l'accès à ce fichier. Code ci-dessous pour Apache (sandrodz a affiché le code pour nginx):

<Files xmlrpc.php>
    Order deny,allow
    Deny from all
</Files>
3
Krzysiek Dróżdż

Comme mentionné dans les commentaires, si vous supprimez le fichier, la mise à jour WP le ramènera.

Il est préférable de le bloquer au niveau du serveur. Dans nginx je fais ce qui suit:

# Disable xmlrpc.php it is being abused by script kiddies
location ~ xmlrpc.php {
    deny all;
    access_log off;
    log_not_found off;
    return 444;
}
2
sandrodz