XML-RPC (pour XML Remote Procedure Call) et l'API REST sont des protocoles intégrés à Wordpress qui permettent d'agir sur son site à distance mais apportent des risques de sécurité à ne pas négliger.
Avec ces protocoles, il est possible depuis une application mobile ou depuis une application sur le bureau de poster à distance un article, de gérer le contenu des pages, de télécharger des images ou bien de modifier des commentaires.
XML-RPC et l'API REST sont donc très utiles mais ils représentent un risque de sécurité et ouvrent la porte (entre autres) à des attaques en force brute. La grande majorité des utilisateurs n'ont pas besoin de ces fonctionnalités, donc autant tout désactiver par mesure préventive.
Désactiver XML-RPC
Si vous n'avez pas besoin de XML-RPC, la méthode la plus efficace pour l'arrêter est d'interdire l'accès au fichier xmlrpc.php situé à la racine de votre site par l'ajout d'une règle dans le fichier .htaccess :
<Files "xmlrpc.php">
Order Allow,Deny
Deny from all
</Files>
Avec ce code, vous interdisez à tout le monde l'accès au fichier. Mais il est possible d'autoriser l'accès uniquement à certains sites, en ajoutant une ou plusieurs adresse IP :
<Files "xmlrpc.php">
Order Allow,Deny
Deny from all
Allow from 1.2.3.4
Allow from 5.6.7.8
</Files>
Ils existent d'autres méthodes, comme l'ajout de plugin ou l'ajout de code dans le thème mais l'interdiction directement au niveau du fichier .htaccess est la plus sûre (et évite l'ajout d'un plugin supplémentaire, vous en utilisez surement déjà trop).
Désactiver l'API REST
Pour échanger des données entre plateformes, l'API REST est incontournable. Mais cela constitue également un risque pour la sécurité de votre site web. Le plugin Disable REST API permet de désactiver la fonctionnalité pour les internautes non connectés à Wordpress.
Une fois le plugin installé, essayez d'accéder à l'url https://www.votre-site.fr/wp-json/wp/v2/users sur votre site web. Si vous n'y arrivez pas, le plugin fonctionne bien.
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 25 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
Vidéo en 2026 : ce qui change
4 février 2026 En 2026, la vidéo n’est plus un simple format « sympa » : c’est devenu le langage central du digital. Visibilité, notoriété, conversion, marque employeur, communication interne… tout passe par des contenus vidéo plus réguliers, plus ciblés et mieux structurés
IA et textes de site : erreurs courantes à éviter
27 janvier 2026 L’intelligence artificielle permet aujourd’hui de rédiger rapidement des textes pour un site web. Pages de présentation, services, articles de blog… tout semble plus simple et plus rapide. Mais utiliser l’IA sans méthode peut produire l’effet inverse.
Comment réagir face à des avis négatifs ?
26 janvier 2026 Un avis négatif n’est jamais agréable, mais ce n’est pas une fatalité. Bien géré, il peut au contraire renforcer votre crédibilité.