Pourquoi il est important de restreindre l'accès à l'API WP REST
Un bogue critique dans WordPress permet aux pirates de modifier facilement n'importe quel message sur votre site Web.
English version: Why it’s important to restrict access to the WP REST API
Avez-vous un site Web alimenté par WordPress? Toutes nos félicitations! Vous offrez un excellent outil pour les pirates. Cela s'appelle WordPress REST API et il est activé par défaut. L'API REST est une technologie qui permet d'effectuer à distance presque toutes les actions ou tâches administratives sur un site Web. L'API WP REST est activée par défaut à partir de la version 4.7.0 de WordPress.
Prenez le contrôle de l'API REST : Comment restreindre l'accès à l'API REST de WordPress
L'API WordPress REST n'est pas une technologie assez mature de nos jours et son code contient de nombreux bogues imprévus. C'est pourquoi vous devez restreindre l'accès à l'API REST avec un plugin de sécurité comme WP Cerber. S'il vous plaît, prenez ça au sérieux, les gars, parce que j'ai de mauvaises nouvelles pour vous. Récemment, juste après la sortie d'une nouvelle version de WordPress 4.7, un bogue critique a été découvert. Ce bogue permet aux visiteurs non autorisés de modifier n'importe quel message sur votre site Web. Le bogue a été trouvé par Ryan Dewhurst et a été corrigé par l'équipe WordPress dans WordPress 4.7.2.
La version précédente de WordPress 4.7.1 a été annoncée en tant que version de sécurité et de maintenance et contient des correctifs pour huit bogues . Malheureusement, le bogue de l'API REST n'avait pas encore été corrigé. Cela laisse des millions de sites Web non protégés dans le monde. C'est difficile à croire mais la mise à jour de WordPress sur les hébergements mutualisés peut prendre jusqu'à plusieurs semaines. Combien de sites Web ont été piratés et infectés ?
Entre-temps, depuis que l'API REST a été activée en mode silencieux pour chaque site Web, 20 (vingt) bogues ont été découverts et corrigés. C'est beaucoup de bogues pour une technologie qui permet à n'importe qui d'effectuer des tâches administratives sur un site Web en arrière-plan.
Le plugin WP Cerber Security vous permet de restreindre ou de bloquer complètement l'accès à l'API REST. Peu importe le nombre de bogues de l'API REST.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback