[WordPress] XML-RPC injoignable, authentification échouée…

Utilisateurs de WordPress, si vous avez des problèmes d’authentification unique sur certains services web, pensez à votre XML-RPC qui est peut être bloqué !

Récemment, j’étais encore en quête de sécuriser un peu plus le blog en restreignant les accès à de nombreux fichiers / dossiers… et comme souvent, trop de sécurité tue la sécurité !
Ainsi, je ne pouvais plus du tout effectuer de l’authentification unique, tous les accès aux services d’authentification tiers ont été « désactivés » et furent injoignables… La faute à un fichier : xmlrpc.php


Il y a plusieurs choses à regarder :

  • Pour les serveurs web Apache : Vérifiez si il n’y a pas de blocage du fichier dans votre .htaccess (à la racine de votre site web) ;
  • Pour les serveurs web Nginx : Vérifiez dans votre fichier de configuration du site web si vous n’excluez pas le fichier « xmlrpc.php » (« deny xmlrpc.php« )
  • Désactivez vos plugins de mise en cache de votre serveur web (Varnish…) et testez la connexion / l’authentification ;
  • Désactivez vos plugins de mise en cache (W3 Total Cache etc…) et testez la connexion / l’authentification ;

Pour s’assurer que votre XML-RPC fonctionne correctement sur votre WordPress, vous devez saisir cette adresse : http://site/xmlrpc.php – Changez bien entendu le « site » par votre nom de domaine.

Si l’état est OK, vous devez avoir ce message s’afficher :

XML-RPC server accepts POST requests only.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

7 commentaires

  1. Hello Julien,

    Peut-être peux-tu m’aider : tu sais probablement que le célèbre Plugin Jetpack for WP effectue un appel vers le XML RPC pour l’authentification à WordPress.com.

    Seulement, cette manœuvre échoue et je ne peux plus utiliser ce plugin bien pratique. J’ai essayé de désactiver WordFence et W3TC, mais rien n’y fait. J’ai aussi essayé de TOUT désactiver, rien non plus.
    Pour info, je n’ai rien changé à mon htaccess entre temps…

    Pourtant, en visitant la page /xmlrpc.php, le serveur répond bien « XML-RPC server accepts POST requests only. ». As-tu une idée ?
    Merci de ton aide 🙂

    1. Salut !
      J’ai déjà eu ce genre de problème auparavant – ça peut provenir d’un soucis au niveau de l’authentification : essaie d’aller sur le site de Jetpack et déconnecte-toi du site web. Ensuite, en navigation privée, connecte-toi en tant qu’Administrateur sur ton site web et retente la liaison avec Jetpack.
      Si ça ne fonctionne toujours pas, désactive tout tes plugins, mets un thème par défaut et redémarre Jetpack (toujours en navigation privée).
      Je regarderai de mon côté si j’ai d’autres solutions à t’apporter.
      Bon courage! 😉

      1. Autre point à vérifier, regarde les droits sur les fichiers (chmod) et les propriétaires des dossiers / sous-dossiers / fichiers, parce que ça joue souvent des tours… 🙂

  2. Salut Julien

    Merci pour ton coup de main.
    J’avais déjà essayé de désactiver les autres plugin, mais ça n’a rien changé. Le thème, ça m’étonnerai qu’il en soit la cause, puisque je l’utilise depuis longtemps, de plus que c’est un ElegantThemes, donc je suppose que c’est assez bien supporté.

    L’erreur me retourne également ça : « GnuTLS recv error (-9): A TLS packet with unexpected length was received. »

    J’ai essayé de me connecter manuellement à WP.com, et ça se passe bien, mais rien en passant par l’admin. N’étant pas assez bidouilleur, je pense simplement que je vais faire une crois sur Jetpack, du moins tant qu’ils auront pas fixé le beug ! 🙂

    Merci de ton aide en tous cas 😉

    1. Salut Mathieu !
      En effet, les thèmes d’Elegant Themes sont très bien faits, notamment au niveau du code « sous le capot ».

      J’ai fouiné un peu sur le web, il y a pas mal de tutoriels en anglais parlant souvent de manipulation similaires — j’ai trouvé cet article (en français !) > http://avisdupublic.net/critique/divers/tuto/solution-probleme-erreur-activation-plugin-jetpack-wordpress/
      Attention, je ne te garantie pas le résultat ! Pense à effectuer une sauvegarde complète du dossier WordPress et de la base de données WordPress avant de te lancer dans ce tutoriel ! 😉

      Bon courage !

      1. Wow merci Julien, t’as assuré ! En effet, ça a marché nickel. Je suppose que je vais devoir répéter la manip’ à chaque MàJ, mais dans tous les cas tu as solutionné mon problème 😀

        Je t’en dois une !

        1. Super ! Je suis content que tu aies pu réussir à faire (re)fonctionner la connexion entre Jetpack et ton site !
          Comme les manipulations sont effectuées et sont sauvegardées, je ne pense pas que tu auras besoin de répéter les manipulations lors des mises à jour de WordPress ; Dans tous les cas, garde la procédure près de toi, on ne sait jamais…

          Bonne continuation ! 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fermer
Fermer