Protection obligatoire WordPress xmlrpc.php


Nous protégeons déjà nativement/par défaut tous les sites wordpress des serveurs...

Toutefois, si vous avez besoin d'utiliser xmlrpc.php, vous pouvez le ré-activer en changeant de profil Nginx, voyez le plugin Nginx dans votre cPanel
Il faut changer successivement le profil en premier pour la version non ssl : http, puis ensuite en https (SSL)

Vous êtes actuellement par défaut sur PROXY avec le profil 'YOORshop defaut'. C'est à savoir pour revenir en arrière au cas ou...

1. Changez votre profil Nginx, par votre cpanel, section 'Nginx', cliquez sur 'Nginx-Manager'

Nginx cPanel plugin
Choisissez votre domaine puis cliquez 'Configure'
Ensuite, vous êtes dans 'Application server', laissez 'PROXY' et cliquez : 'Submit'
Laissez httpd, et voyez la liste de choix sous le texte : "Select Application template"
Choisissez celui-ci 'YOORshop xmlrpc',  et cliquez : 'Submit'


2. Gestion des IP autorisées : si vous n'utilisez pas jetpack, a
jouter obligatoirement ceci dans votre htaccess avec votre/vos IP pour restreindre l'accès, et donc protéger de toutes attaques, exemple avec une IP de notre VPN :

<Files "xmlrpc.php">
order deny,allow
deny from all
allow from 87.98.172.169
</Files>

Vous pouvez tester et accéder à votre site Web à partir d'une adresse IP non autorisée sur l'URL /xmlrpc.php, vous devez voir un 403 forbidden donc 'interdit'.


3. 
Gestion des IP autorisées avec Jetpack (n'utilisez pas le point 2 en cumulé), vous devez donc impérativement ajouter ce plugin qui gèrera l'autorisation de leurs IPs automatiquement :
Stop XML-RPC Attack
https://wordpress.org/plugins/stop-xmlrpc-attack/ 

Consultez aussi

Sécurité : X-Content-Type-Options: nosniff

Si vous avez une érreur comme :The resource from “[URL and name of file]” was blocked due to MIME...

Permissions dossiers et fichiers sous serveur linux

En général les permissions des dossiers doivent être à 755 et les fichiers à 644. Ceci est...

Mesures de sécurité OBLIGATOIRE pour WordPress sur nos serveurs

Ce n'est pas un secret, les sites wordpress subissent des attaques multiples et de plus en plus...

Comment installer un certificat SSL

Avoir un site web en SSL à 100% est hautement recommandé :- un cadenas sans warning dans...

Error log dans PHP cPanel

Spécial pour serveurs infogérés utilisant les versions PHP de cPanelRappel :Vous utilisez dans...