Pourquoi le XML-RPC est-il dangereux pour mon site WordPress ?

Le XML-RPC permet des attaques par amplification de force brute. Un pirate peut tester des milliers de mots de passe en quelques requêtes seulement, ce qui sature le serveur et augmente les risques de piratage.

Est-ce que désactiver XML-RPC va casser mon site ?

Dans la plupart des cas, non. Cela n'affectera votre site que si vous utilisez l'application mobile WordPress, Jetpack ou des services d'automatisation tiers qui nécessitent ce protocole pour communiquer.

Quelle est la meilleure méthode pour bloquer XML-RPC ?

La méthode la plus performante est l'édition du fichier .htaccess. Elle bloque la menace au niveau du serveur, empêchant la requête d'atteindre WordPress et économisant ainsi des ressources système.

Comment désactiver le XML-RPC sur WordPress pour protéger votre site contre les attaques par force brute

Florian Prache - 16 Février 2026 à 13h38

Le protocole XML-RPC est une fonctionnalité historique de WordPress permettant la communication entre votre site et des applications tierces. Si elle facilitait autrefois la publication à distance, elle constitue aujourd'hui une porte d'entrée majeure pour les pirates. Les attaques par force brute et les tentatives de déni de service ciblent prioritairement ce fichier. Désactiver cette fonction est une étape cruciale pour renforcer la sécurité de votre installation et réduire drastiquement les tentatives d'intrusion.

Pourquoi désactiver le XML-RPC devient une priorité de sécurité

Le fichier xmlrpc.php est nativement activé sur toutes les installations WordPress. Cependant, sa structure permet aux attaquants de tester des centaines de combinaisons de mots de passe en une seule requête HTTP. Cette méthode, appelée amplification, rend les attaques par force brute beaucoup plus efficaces et discrètes que sur une page de connexion classique.

D'ailleurs, si vous n'utilisez pas l'application mobile WordPress ou des services d'automatisation comme Jetpack, ce protocole ne vous sert strictement à rien. En le coupant, vous allégez également la charge de votre serveur, car vous bloquez les requêtes inutiles avant même qu'elles ne soient traitées par le système.

Trois méthodes pour verrouiller l'accès au protocole

1. La solution la plus propre consiste à intervenir directement au niveau du serveur via le fichier .htaccess. En ajoutant quelques lignes de code, vous interdisez l'accès au fichier avant que WordPress ne soit sollicité. Il suffit d'insérer une règle interdisant l'accès à xmlrpc.php pour toutes les adresses IP, à l'exception éventuellement de la vôtre si vous en avez un usage spécifique.

# BLOQUER XML-RPC POUR SECURISER LE SITE
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

*Ajouter ceci dans votre fichier .htaccess

D'ailleurs, si vous avez besoin d'autoriser une adresse IP spécifique (par exemple pour un service d'automatisation précis), vous pouvez adapter le code ainsi :

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 123.123.123.123
</Files>

*Ajouter ceci dans votre fichier .htaccess

2. Une autre approche technique consiste à utiliser le fichier functions.php de votre thème actif. En utilisant un filtre spécifique à WordPress, vous pouvez désactiver le support du protocole de manière logicielle. C'est une méthode efficace pour ceux qui préfèrent ne pas toucher aux fichiers de configuration du serveur, bien que la requête atteigne tout de même votre site avant d'être rejetée.

// Désactivation complète du protocole XML-RPC
add_filter('xmlrpc_enabled', '__return_false');
// Suppression des liens de découverte dans l'en-tête du site
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');

*Ajouter ceci dans votre fichier functions.php de votre thème

3. Pour les utilisateurs moins à l'aise avec le code, l'installation d'une extension de sécurité dédiée reste l'option la plus simple. Des outils réputés permettent de cocher une case pour désactiver XML-RPC instantanément. Il faut toutefois noter que l'accumulation d'extensions peut parfois ralentir votre interface d'administration.

Le décryptage : un mal nécessaire à éliminer

L'existence même du XML-RPC dans les versions modernes de WordPress fait débat au sein de la communauté technique. Depuis l'arrivée de l'interface de programmation REST, ce vieux protocole est devenu technologiquement obsolète. Pourtant, l'équipe de développement de WordPress le maintient pour assurer la compatibilité avec les anciens systèmes.

Fermer cette porte n'est pas seulement une question de paranoïa, c'est une mesure d'hygiène numérique. En 2026, la majorité des compromissions de sites proviennent de failles connues et non corrigées. En bloquant ce fichier, vous éliminez d'un coup l'un des vecteurs d'attaque les plus automatisés par les robots malveillants. C'est un gain de performance et de sérénité immédiat.

Vérifiez votre sécurité dès maintenant

Une fois l'une de ces méthodes appliquée, il est impératif de tester le résultat. Utilisez un outil de vérification en ligne ou tentez d'accéder manuellement au fichier via votre navigateur. Si vous recevez une erreur de type accès refusé, votre protection est opérationnelle.

Si notre guide te plaît, montre ton amour en nous soutenant sur Patreon… ou au moins en lançant un petit grrrr