Limitare l'accesso all'API REST di WordPress
È ora di prendere il controllo dell'API REST di WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security ti consente di limitare o bloccare completamente l'accesso all'API REST di WordPress che è abilitata per impostazione predefinita. Per abilitare la protezione, vai alla scheda Protezione avanzata e abilita Blocca l'accesso all'API REST di WordPress tranne uno dei seguenti . Ciò blocca l'accesso all'API REST a meno che tu non conceda l'accesso ad essa nei campi delle impostazioni sottostanti o aggiunga un IP all'elenco di accesso IP bianchi.
Restrict access to WordPress REST API
Se utilizzi Contact Form 7, Jetpack o un altro plug-in che utilizza l'API REST, devi inserire nella whitelist i relativi spazi dei nomi dell'API REST come descritto di seguito.
Consentire l'accesso a uno spazio dei nomi dell'API REST specifico
Uno spazio dei nomi API REST fa parte di un URL di richiesta che consente a WordPress di riconoscere quale codice di programma elabora una determinata richiesta API REST. Per ottenere lo spazio dei nomi, prendi una stringa tra /wp-json/ e la barra successiva nell'URL REST. Ogni plug-in che utilizza l'API REST utilizza il proprio spazio dei nomi univoco. La tabella seguente mostra gli spazi dei nomi per alcuni plugin.
| Collegare | Spazio dei nomi |
| Modulo di contatto 7 | contact-form-7 |
| Forme caldere | cf-api |
| Yoast SEO | yoast |
| Jetpack | jetpack |
Specificare le eccezioni dello spazio dei nomi per l'API REST se necessario, come mostrato nello screenshot
Consenti ai tuoi utenti di utilizzare l'API REST
Abilita Consenti API REST per gli utenti che hanno effettuato l'accesso se desideri consentire l'utilizzo dell'API REST per qualsiasi utente WordPress autorizzato (connesso) senza limitazioni.
Limita l'accesso all'API REST di WordPress in base agli indirizzi IP
Per consentire l'accesso all'API REST da un indirizzo IP specifico o da una rete IP, aggiungerli all'elenco di accesso IP bianco .
Per bloccare completamente l'accesso all'API REST da un indirizzo IP specifico o da una rete IP, aggiungerli alla Black IP Access List .
Per saperne di più: Utilizzo degli elenchi di accesso IP per proteggere WordPress
Come interrompere l'enumerazione degli utenti dell'API REST
Per bloccare l'accesso ai dati degli utenti e interrompere l'enumerazione degli utenti tramite l'API REST, è necessario abilitare l'impostazione Blocca l'accesso ai dati degli utenti tramite l'API REST nella scheda Protezione avanzata. Questa funzione di sicurezza è progettata per rilevare e impedire agli hacker di scansionare il tuo sito alla ricerca di accessi utente e dati sensibili degli utenti.
Quando è abilitato, Cerber blocca tutte le richieste all'API REST e restituisce l'errore HTTP 403. È possibile monitorare tali eventi nella scheda Attività. Vengono registrati come "Richiesta all'API REST negata".
L'accesso ai dati degli utenti tramite WordPress REST API è sempre concesso in due casi:
- Per gli account amministratore, ovvero se è abilitato "Interrompi enumerazione utenti" tramite API REST, tutti gli utenti con il ruolo di amministratore hanno sempre accesso ai dati degli utenti
- Per tutti gli indirizzi IP nell'elenco di accesso IP bianco
Cos'è l'API REST?
In poche parole, è una tecnologia che permette a due diversi pezzi di codice (applicazioni) di dialogare tra loro e scambiarsi dati in modo standardizzato. L'utilizzo dell'API REST consente agli sviluppatori di creare, leggere e aggiornare i contenuti di WordPress da applicazioni esterne in esecuzione su un computer remoto o un sito web. L'API REST di WP è abilitata per impostazione predefinita a partire dalla versione 4.7.0 di WordPress.
Leggi di più: Perché è importante limitare l'accesso all'API REST di WP
Documentazione per gli sviluppatori: https://developer.wordpress.org/rest-api/
Sai che puoi gestire le impostazioni dell'API REST su qualsiasi numero di siti Web da remoto? Abilita una modalità del sito Web principale sul sito Web principale di Cerber.Hub e una modalità del sito Web gestito sugli altri siti Web per gestire tutte le istanze di WP Cerber da un'unica dashboard.
Prossimi passaggi che rafforzeranno la sicurezza di WordPress
- Come bloccare le registrazioni degli utenti spam
- Come bloccare l'invio di moduli spam
- Come bloccare un utente WordPress
- Come bloccare l'accesso da un indirizzo IP specifico
- Come disabilitare utilizzando un nome utente specifico
Cos'è la Cerber Security, comunque? È una soluzione di sicurezza completa per WordPress che si è evoluta da un semplice ma efficace plug-in per limitare i tentativi di accesso .
WP Cerber Security 8.7
Gestire le password delle applicazioni WordPress in modo semplice
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.