Tout savoir sur WordPress

Désactiver ou verrouiller la REST API et le XML RPC de WordPress

Si l’API Rest vous empêche de dormir sur vos deux oreilles, vous pouvez la verrouiller afin que seuls les utilisateurs connectés ou les administrateurs puissent y avoir accès. Aujourd’hui je vous déconseille de vouloir la désactiver complètement et je vous explique pourquoi.

Mise à jour février 2018 : Dans une ancienne version de cet article je vous expliquais comment désactiver complètement l’API (à cause de failles détectées dans la version 4.7). Mais vous n’avez plus d’inquiétudes à avoir, aujourd’hui l’API Rest est stable et sécurisée.

Avant de continuer, sachez que l’API Rest est de plus en plus utilisée par les extensions et le coeur de WordPress. Il devient donc dangereux de vouloir la désactiver. A l’arrivée de Gutenberg, le nouvel éditeur de WordPress, en mai 2018 vous risquez de tout casser.

Empecher les utilisateurs non connectés d’accéder à l’api :

Je vous conseille donc de la laisser activée, mais de la verrouiller pour que seuls les utilisateurs connectés ou les admin y aient accès, voici le code à appliquer dans functions.php

<?php 
add_filter('rest_authentication_errors', 'secure_api');

public function secure_api( $result ) {
    if ( ! empty( $result ) ) {
        return $result;
    }
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
    }
    return $result;
  }

Et si jamais vous voulez vraiment limiter l’accès à l’API au minimum à vos rédacteurs, il suffit d’utiliser la fonction current_user_can(‘edit_posts’) à la place de is_user_logged_in().

Cette méthode est « officielle » puisqu’elle provient de la documentation WordPress: https://developer.wordpress.org/rest-api/using-the-rest-api/frequently-asked-questions/

DESACTIVER Le XML RPC

Le XML RPC est un ancien protocole WordPress très peu utilisé et qui peut facilement présenter des failles de sécurité. Pour le désactiver il suffit d’ajouter ces lignes, toujours dans functions.php :

<?php 

	add_filter( 'xmlrpc_enabled', '__return_false' );
	remove_action( 'wp_head', 'rsd_link' );

 

Cet article a été mis à jour il y a 619 jours - Il n'est peut être plus à jour !

Article écrit par Maxime BJ

Développeur, bloggeur et formateur Web spécialisé WordPress. 31 ans. Grenoblois. Co-fondateur de WPChef, l’organisme de formation WordPress.

Organisateur de WPInAlps, le meetup WordPress Grenoblois. Vous pouvez me rencontrer lors d’événements tels que WordCamp Paris et Europe. Traducteur Français de l’extension Advanced Custom Fields. Également développeur d’applications web avec MeteorJs. Je m’occupe un site pour apprendre l’informatique aux débutants gratuitement.

J’aime les jeux vidéo, la rando, la bouffe bien grasse et les voyages.

17 Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    • Le problème est résolu en 4.7.2, je propose juste ces codes pour éviter de futurs potentiels problèmes en cas de nouvelle faille à l’avenir

  1. Personnellement, ayant détecté une attaque en cours sur le fichier xmlrpc.php, qui est la porte de l’api du même nom (que je n’utilise pas), j’ai tout simplement supprimé le fichier (en attendant la prochaine mise à jour).
    simple, sans risque et sans ajouter du code (plugin ou autre).

    ATTENTION, solution temporaire : la mise à jour suivante le réinstallera

    • Il vaut mieux utiliser le filter indiqué dans l’article que de supprimer des fichiers du coeur de WP ;)

  2. Merci pour ce code, je l’ai insérer à l’aide d’un MU Plugin, cela ne posera pas de problème futur ?
    C’est d’autant plus facile pour le déployer sur d’autres sites.

  3. Un grand merci pour cet article déjà. Je viens aussi de parcourir ton article sur l’API REST, c’est très instructif :)

    Dans ta « solution 2 », tu proposes une solution pour désactiver l’API REST et une autre pour désactiver le XML RPC.
    Ensuite, tu nous parles d’une solution alternative qui laisse l’API ouverte mais réservée seulement aux utilisateurs connectés.

    Si je veux opter pour la solution alternative, au niveau du code, est-ce qu’au final je dois avoir ceci :

    remove_action( ‘init’, ‘rest_api_init’ );
    remove_action( ‘parse_request’, ‘rest_api_loaded’ );
    (…)
    add_filter( ‘rest_enabled’, ‘__return_false’ );
    add_filter( ‘rest_jsonp_enabled’, ‘__return_false’ );

    function secure_API( $access ) {
    (…)
    }
    add_filter( ‘rest_authentication_errors’, ‘secure_API’ );

    OU uniquement ceci :

    function secure_API( $access ) {
    (…)
    }
    add_filter( ‘rest_authentication_errors’, ‘secure_API’ );

    Merci d’avance pour ta réponse :)

  4. Bonjour, quand je cherche a me connecter sur mon site voici la page qui s’ouvre avec le texte suivant:
    Parse error: syntax error, unexpected T_FUNCTION in /home/winedivik/www/wp-content/plugins/disable-json-api/classes/disable-rest-api.php on line 86
    Quand je fais des recherches sur cette ligne je tombe sur votre site, voici pourquoi je met ce commentaire.
    si quelqu’un pouvait m’expliquer.?
    En plus il faut que je renouvelle mon hébergement et je ne sais pas si ça vaut le coup.
    Merci/ Cdt.

    • Je te conseille de désactiver l’extension disable json api, elle ne doit plus être à jour. Laisse l’API activée pour le moment, elle va devenir de plus en plus nécessaire pour WordPress donc il est déconseillé de continuer à vouloir la couper.

    • Elle fait le boulot en effet aussi ! Aujourd’hui cependant je pense qu’il ne faut plus bloquer l’API : de plus en plus de choses en ont besoin pour tourner dans WordPress, cela risque de créer des incompatibilités à l’avenir

    • Merci pour ta réponse.

      J’ai bien compris l’intérêt de ne pas la couper… mais est-ce que le code que tu indiques (copié ci-dessous) pour la laisser ouverte mais seulement aux connecté·e·s est suffisant en matière de sécurité ?
      rest_authorization_required_code() ) );
      }

      return $access;
      }
      add_filter( ‘rest_authentication_errors’, ‘secure_API’ );

      Merci d’avance pour ta réponse.

    • La version publique de l’API faut la voir comme un flux RSS : ça n’affiche que les contenus également sur le site donc aucun souci de sécurité. Il ne faut vraiment pas d’ne faire de ce côté là .

Nullam nunc Lorem odio at ipsum fringilla sit Donec