Protection obligatoire WordPress xmlrpc.php

1

Nous protégeons déjà nativement/par défaut tous les sites wordpress des serveurs...

Toutefois, si vous avez besoin d'utiliser xmlrpc.php, vous pouvez le ré-activer en changeant de profil Nginx, voyez le plugin Nginx dans votre cPanel
Il faut changer successivement le profil en premier pour la version non ssl : http, puis ensuite en https (SSL)

Vous êtes actuellement par défaut sur PROXY avec le profil 'YOORshop defaut'. C'est à savoir pour revenir en arrière au cas ou...

1. Changez votre profil Nginx, par votre cpanel, section 'Nginx', cliquez sur 'Nginx-Manager'

Nginx cPanel plugin
Choisissez votre domaine puis cliquez 'Configure'
Ensuite, vous êtes dans 'Application server', laissez 'PROXY' et cliquez : 'Submit'
Laissez httpd, et voyez la liste de choix sous le texte : "Select Application template"
Choisissez celui-ci 'YOORshop xmlrpc',  et cliquez : 'Submit'

2. Gestion des IP autorisées : si vous n'utilisez pas jetpack, ajouter obligatoirement ceci dans votre htaccess avec votre/vos IP pour restreindre l'accès, et donc protéger de toutes attaques, exemple avec une IP de notre VPN :

<Files "xmlrpc.php">
order deny,allow
deny from all
allow from 87.98.172.169
</Files>

Vous pouvez tester et accéder à votre site Web à partir d'une adresse IP non autorisée sur l'URL /xmlrpc.php, vous devez voir un 403 Forbidden donc 'interdit'.


3. Gestion des IP autorisées avec Jetpack (n'utilisez pas le point 2 en cumulé), vous devez donc impérativement ajouter ce plugin qui gèrera l'autorisation de leurs IPs automatiquement :
Stop XML-RPC Attack
https://wordpress.org/plugins/stop-xmlrpc-attack/