web-dev-qa-db-fra.com

Comment sécuriser WordPress XMLRPC?

XMLRPC est idéal pour la publication à distance sur WordPress, mais de nombreux problèmes de sécurité lui ont été attribués. Comment cela rend-il plus sécurisé? Plus précisément, seul l'utilisateur de l'intranet publiera via XMLRPC. WP fonctionne actuellement sur Lighttpd et PHP 5.3.

1
ltfishie

XMLRPC est aussi sécurisé que le reste de WordPress. Toutes les demandes doivent être authentifiées avec les informations d'identification de nom d'utilisateur et de mot de passe qui existent déjà sur votre site. Cela signifie que si quelqu'un a un identifiant pour votre site, il peut utiliser l'interface XMLRPC (si elle est activée). Mais les utilisateurs anonymes ne peuvent pas entrer.

La seule faille de sécurité potentielle que vous pourriez rencontrer avec XMLRPC est celle d'une attaque homme au milieu . Mais vous faites face au même risque avec l’administrateur WordPress standard, ce n’est donc pas propre à XMLRPC.

Le meilleur moyen d'éviter ce genre de problème consiste à activer la sécurité SSL sur votre site. Vous aurez besoin d'un certificat SSL, puis vous devrez accéder à votre point de terminaison XMLRPC via https:// plutôt que http://. Ceci chiffrera vos demandes et empêchera quiconque de les intercepter et de voler vos informations d'identification.

Vous devez également activer la sécurité SSL lors de la connexion à votre site habituel, car celui-ci fait face aux mêmes risques.

5
EAMann

Je suggère le code suivant à ajouter au fichier .htaccess

<FilesMatch "^(xmlrpc\.php)">
Order Deny,Allow
# IP address Whitelist
Allow from xxx.xxx.xxx.xxx
Deny from all
</FilesMatch>
2
Fabdmin

Pour limiter l'accès à xmlrpc.php à la plage IP qui en a besoin (par exemple, Jetpack), vous pouvez procéder de la sorte.

<files xmlrpc.php="">
Order Deny,Allow
Deny from all
Allow from 192.0.64.0/18
Satisfy All
ErrorDocument 403 http://127.0.0.1/
</files>

Sécuriser xmlrpc.php semble généralement sous-discuté sur le Web, mais une attaque peut signifier une attaque par déni de service. À mon avis, il vaut vraiment la peine de discuter pour s’assurer que plus de personnes peuvent empêcher une attaque.

1
sdexp

Le plugin Secure XML-RPC semble résoudre le problème de l'envoi d'informations sensibles par le fil.

Description du plugin:

Plutôt que d'envoyer des noms d'utilisateur et des mots de passe en texte brut à chaque demande, nous allons utiliser un ensemble de clés publiques/secrètes pour hacher les données et les authentifier.

0
vinnie