Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken
Ein kritischer Fehler in WordPress ermöglicht es Hackern, jeden Beitrag auf Ihrer Website einfach zu bearbeiten.
English version: Why it’s important to restrict access to the WP REST API
Haben Sie eine WordPress-basierte Website? Glückwunsch! Sie bieten ein großartiges Tool für Hacker. Es heißt WordPress REST API und ist standardmäßig aktiviert. REST API ist eine Technologie, die es ermöglicht, fast alle Aktionen oder administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WP REST API ist ab WordPress Version 4.7.0 standardmäßig aktiviert.
Übernehmen Sie die Kontrolle über die REST-API: So beschränken Sie den Zugriff auf die WordPress-REST-API
Die WordPress REST API ist heutzutage keine ganz ausgereifte Technologie und ihr Code enthält viele unvorhergesehene Fehler. Aus diesem Grund müssen Sie den Zugriff auf die REST-API mit einem Sicherheits-Plugin wie WP Cerber einschränken. Bitte nehmt es ernst, Jungs, denn ich habe schlechte Nachrichten für euch. Kürzlich, direkt nach der Veröffentlichung einer neuen Version von WordPress 4.7, wurde ein kritischer Fehler gefunden. Dieser Fehler ermöglicht es unbefugten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team in WordPress 4.7.2 behoben.
Die Vorgängerversion WordPress 4.7.1 wurde als Security and Maintenance Release angekündigt und hat Fixes für acht Bugs . Leider wurde der REST-API-Bug noch nicht behoben. Dadurch bleiben Millionen von Websites auf der ganzen Welt ungeschützt. Es ist kaum zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen dauern. Wie viele Websites wurden gehackt und infiziert?
Seitdem die REST-API stillschweigend für jede Website aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es sind ziemlich viele Fehler für eine Technologie, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrundmodus auszuführen.
Mit dem Plugin WP Cerber Security können Sie den Zugriff auf die REST-API vollständig einschränken oder blockieren. Egal wie viele Bugs die REST API hat.
WordPress 5.4.1. Ein Sicherheitsupdate behebt sieben XSS-Schwachstellen
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback