Restringir el acceso a la API REST de WordPress
Es hora de tomar el control de la API REST de WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security le permite restringir o bloquear completamente el acceso a la API REST de WordPress, que está habilitada de forma predeterminada. Para habilitar la protección, vaya a la pestaña Endurecimiento y habilite Bloquear acceso a la API REST de WordPress, excepto cualquiera de los siguientes . Esto bloquea el acceso a la API REST a menos que le otorgue acceso en los campos de configuración a continuación o agregue una IP a la Lista de acceso de IP blanca.
Restrict access to WordPress REST API
Si usa Contact Form 7, Jetpack u otro complemento que utiliza la API REST, debe incluir en la lista blanca sus espacios de nombres de la API REST como se describe a continuación.
Permitir el acceso a un espacio de nombres de API REST específico
Un espacio de nombres de API REST es parte de una URL de solicitud que permite a WordPress reconocer qué código de programa procesa una determinada solicitud de API REST. Para obtener el espacio de nombres, tome una cadena entre /wp-json/ y la siguiente barra inclinada en la URL REST. Cada complemento que utiliza la API REST utiliza su propio espacio de nombres único. La siguiente tabla muestra espacios de nombres para algunos complementos.
| Enchufar | espacio de nombres |
| Formulario de contacto 7 | contact-form-7 |
| Formas de Caldera | cf-api |
| Yoast SEO | yoast |
| mochila propulsora | jetpack |
Especifique excepciones de espacio de nombres para la API REST si es necesario, como se muestra en la captura de pantalla
Permita que sus usuarios usen la API REST
Habilite Permitir API REST para usuarios registrados si desea permitir el uso de API REST para cualquier usuario autorizado de WordPress (registrado) sin limitación.
Restrinja el acceso a la API REST de WordPress por direcciones IP
Para permitir el acceso a la API REST desde una dirección IP específica o una red IP, agréguelos a la Lista de acceso de IP blanca .
Para bloquear completamente el acceso a la API REST desde una dirección IP específica o una red IP, agréguelos a la Lista de acceso IP negra .
Leer más: Uso de listas de acceso IP para proteger WordPress
Cómo detener la enumeración de usuarios de la API REST
Para bloquear el acceso a los datos de los usuarios y detener la enumeración de usuarios a través de la API REST, debe habilitar la configuración Bloquear el acceso a los datos de los usuarios a través de la API REST en la pestaña Protección. Esta función de seguridad está diseñada para detectar y evitar que los piratas informáticos escaneen su sitio en busca de inicios de sesión de usuarios y datos confidenciales de los usuarios.
Cuando está habilitado, Cerber bloquea todas las solicitudes a la API REST y devuelve el error HTTP 403. Puede monitorear dichos eventos en la pestaña Actividad. Se registran como "Solicitud de API REST denegada".
El acceso a los datos de los usuarios a través de la API REST de WordPress siempre se otorga en dos casos:
- Para las cuentas de administrador, lo que significa que si está habilitado "Detener la enumeración de usuarios" a través de la API REST, todos los usuarios con la función de administrador siempre tendrán acceso a los datos de los usuarios.
- Para todas las direcciones IP en la Lista de acceso de IP blanca
¿Qué es la API REST?
En pocas palabras, es una tecnología que permite que dos piezas diferentes de código (aplicaciones) se comuniquen entre sí e intercambien datos de forma estandarizada. El uso de la API REST permite a los desarrolladores crear, leer y actualizar contenido de WordPress desde aplicaciones externas que se ejecutan en una computadora remota o un sitio web. La API REST de WP está habilitada de forma predeterminada a partir de la versión 4.7.0 de WordPress.
Leer más: Por qué es importante restringir el acceso a la API REST de WP
Documentación para desarrolladores: https://developer.wordpress.org/rest-api/
¿Sabe que puede administrar la configuración de la API REST en cualquier número de sitios web de forma remota? Habilite un modo de sitio web principal en el sitio web principal de Cerber.Hub y un modo de sitio web administrado en sus otros sitios web para administrar todas las instancias de WP Cerber desde un panel.
Próximos pasos que fortalecerán la seguridad de WordPress
- Cómo bloquear registros de usuarios no deseados
- Cómo bloquear envíos de formularios de spam
- Cómo bloquear a un usuario de WordPress
- Cómo bloquear el acceso desde una dirección IP específica
- Cómo deshabilitar usando un nombre de usuario específico
¿Qué es Cerber Security, de todos modos? Es una solución de seguridad completa para WordPress que se desarrolló a partir de un simple pero efectivo complemento de límite de intentos de inicio de sesión .
Por qué necesita usar una URL de inicio de sesión personalizada para su WordPress
Cómo atrapar bots y robots con una lista de inicios de sesión prohibidos
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.