Selon l'ancien post: Comment sécuriser WordPress XMLRPC? , chaque API nécessite une authentification.
Alors, à quoi sert-il d'ajouter X-Pingback
dans chaque demande publique?
curl -I http://ma.tt
..
X-Pingback: http://ma.tt/blog/xmlrpc.php
Content-Type: text/html; charset=UTF-8
..
Je pense que lorsque l'on parle de XMLRPC dans le contexte de wordpress, on entend généralement parler d'outils de création utilisant le protocole XMLRPC, et non du protocole en général.
Dans le cas de pingbacks et de rétroliens, le protocole XMLRPC est utilisé pour envoyer du contenu (commentaire) à votre site par une autre entité qui le fait probablement de manière automatique. Cette entité doit connaître le point de terminaison auquel envoyer la demande en fonction de l'adresse de la page où le commentaire doit être publié. Vous devez donc pouvoir récupérer l'adresse du point de terminaison à partir de l'URL de la page. fait par la page en ajoutant l'adresse comme un en-tête HTTP (peut-être aussi en ajoutant une balise META au HTML).
TL; DR; l'en-tête HTTP est lié à la prise en charge des pingbacks, qui fonctionne différemment de la publication basée sur XMLRPC
Malheureusement, même lorsque le pingback et les rétroliens sont désactivés, l'en-tête HTTP est envoyé. Si vous souhaitez le désactiver, ajoutez le code suivant à votre thème functions.php (extrait de ici )
function remove_x_pingback($headers) {
unset($headers['X-Pingback']);
return $headers;
}
add_filter('wp_headers', 'remove_x_pingback');