Ogranicz dostęp do interfejsu API REST WordPress
Czas przejąć kontrolę nad WordPress REST API
English version: Restrict access to the WordPress REST API
WP Cerber Security pozwala ograniczyć lub całkowicie zablokować dostęp do WordPress REST API, które jest domyślnie włączone. Aby włączyć ochronę, przejdź do zakładki Wzmocnienie i włącz opcję Blokuj dostęp do interfejsu API REST WordPress, z wyjątkiem któregokolwiek z poniższych . To blokuje dostęp do interfejsu API REST, chyba że przyznasz mu dostęp w poniższych polach ustawień lub dodasz adres IP do białej listy dostępu IP.
Restrict access to WordPress REST API
Jeśli korzystasz z Contact Form 7, Jetpack lub innej wtyczki korzystającej z REST API, musisz dodać do białej listy jej przestrzenie nazw REST API, jak opisano poniżej.
Zezwól na dostęp do określonej przestrzeni nazw interfejsu API REST
Przestrzeń nazw REST API jest częścią adresu URL żądania, która pozwala WordPressowi rozpoznać, jaki kod programu przetwarza określone żądanie REST API. Aby uzyskać przestrzeń nazw, weź ciąg między /wp-json/ a następnym ukośnikiem w adresie URL REST. Każda wtyczka korzystająca z REST API używa własnej, unikalnej przestrzeni nazw. Poniższa tabela pokazuje przestrzenie nazw dla niektórych wtyczek.
| Podłącz | Przestrzeń nazw |
| Formularz kontaktowy 7 | contact-form-7 |
| Formy kaldery | cf-api |
| Yoast SEO | yoast |
| plecak odrzutowy | jetpack |
Określ wyjątki przestrzeni nazw dla interfejsu API REST, jeśli jest to potrzebne, jak pokazano na zrzucie ekranu
Zezwól swoim użytkownikom na korzystanie z REST API
Włącz Zezwalaj na interfejs API REST dla zalogowanych użytkowników , jeśli chcesz zezwolić na korzystanie z interfejsu API REST każdemu autoryzowanemu (zalogowanemu) użytkownikowi WordPress bez ograniczeń.
Ogranicz dostęp do WordPress REST API według adresów IP
Aby zezwolić na dostęp do REST API z określonego adresu IP lub sieci IP dodaj je do Białej Listy Dostępu IP .
Aby całkowicie zablokować dostęp do REST API z określonego adresu IP lub sieci IP dodaj go do Czarnej Listy Dostępu IP .
Przeczytaj więcej: Używanie list dostępu IP do ochrony WordPress
Jak zatrzymać wyliczanie użytkowników interfejsu API REST
Aby zablokować dostęp do danych użytkowników i zatrzymać wyliczanie użytkowników przez REST API, musisz włączyć ustawienie Blokuj dostęp do danych użytkowników przez REST API na zakładce Hardening. Ta funkcja zabezpieczeń ma na celu wykrywanie i zapobieganie skanowaniu Twojej witryny przez hakerów w poszukiwaniu loginów i poufnych danych użytkowników.
Gdy jest włączona, Cerber blokuje wszystkie żądania do REST API i zwraca błąd HTTP 403. Możesz monitorować takie zdarzenia na karcie Aktywność. Są one rejestrowane jako „Odmowa żądania do REST API”.
Dostęp do danych użytkowników poprzez WordPress REST API udzielany jest zawsze w dwóch przypadkach:
- W przypadku kont administratora, czyli jeśli włączone jest „Zatrzymaj wyliczanie użytkowników” przez REST API, wszyscy użytkownicy z rolą administratora mają zawsze dostęp do danych użytkowników
- Dla wszystkich adresów IP na białej liście dostępu IP
Co to jest API REST?
W skrócie jest to technologia, która pozwala dwóm różnym fragmentom kodu (aplikacjom) komunikować się ze sobą i wymieniać dane w ustandaryzowany sposób. Korzystanie z REST API umożliwia programistom tworzenie, odczytywanie i aktualizowanie treści WordPress z zewnętrznych aplikacji działających na zdalnym komputerze lub stronie internetowej. Interfejs API REST WP jest domyślnie włączony począwszy od wersji WordPress 4.7.0.
Przeczytaj więcej: Dlaczego ważne jest ograniczenie dostępu do API REST WP
Dokumentacja dla programistów: https://developer.wordpress.org/rest-api/
Czy wiesz, że możesz zdalnie zarządzać ustawieniami REST API na dowolnej liczbie serwisów? Włącz tryb głównej witryny na głównej stronie Cerber.Hub i zarządzany tryb witryny na innych swoich witrynach, aby zarządzać wszystkimi instancjami WP Cerber z jednego pulpitu nawigacyjnego.
Kolejne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa
- Jak blokować spamowe rejestracje użytkowników
- Jak zablokować przesyłanie formularzy spamu
- Jak zablokować użytkownika WordPress
- Jak zablokować dostęp z określonego adresu IP
- Jak wyłączyć używanie określonej nazwy użytkownika
Czym w ogóle jest Cerber Security? Jest to kompletne rozwiązanie bezpieczeństwa dla WordPress, które wyewoluowało z prostej, ale skutecznej wtyczki ograniczającej próby logowania .
WP Cerber Security 4.0
Jak zmienić format daty na stronie aktywności
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.