Dlaczego ważne jest, aby ograniczyć dostęp do API REST WP
Krytyczny błąd w WordPressie umożliwia hakerom łatwą edycję dowolnego postu w Twojej witrynie.
English version: Why it’s important to restrict access to the WP REST API
Czy masz stronę opartą na WordPressie? Gratulacje! Oferujecie świetne narzędzie dla hakerów. Nazywa się WordPress REST API i jest domyślnie włączony. REST API to technologia pozwalająca na zdalne wykonywanie niemal każdej czynności lub zadań administracyjnych na stronie internetowej. Interfejs API REST WP jest domyślnie włączony począwszy od wersji WordPress 4.7.0.
Przejmij kontrolę nad REST API: Jak ograniczyć dostęp do WordPress REST API
WordPress REST API nie jest obecnie technologią dojrzałą, a jego kod zawiera mnóstwo nieprzewidzianych błędów. Dlatego musisz ograniczyć dostęp do interfejsu API REST za pomocą wtyczki bezpieczeństwa, takiej jak WP Cerber. Proszę, potraktujcie to poważnie, chłopaki, ponieważ mam dla was złe wieści. Niedawno, zaraz po wydaniu nowej wersji WordPressa 4.7, wykryto krytyczny błąd. Ten błąd umożliwia nieautoryzowanym użytkownikom edytowanie dowolnego postu w Twojej witrynie. Błąd został znaleziony przez Ryana Dewhursta i został naprawiony przez zespół WordPress w WordPress 4.7.2.
Poprzednia wersja WordPress 4.7.1 została ogłoszona jako Security and Maintenance Release i zawiera poprawki ośmiu błędów . Niestety błąd REST API nie został jeszcze naprawiony. To pozostawia bez ochrony miliony stron internetowych na całym świecie. Trudno w to uwierzyć, ale aktualizacja WordPressa na współdzielonych hostingach może zająć nawet kilka tygodni. Ile witryn zostało zhakowanych i zainfekowanych?
W międzyczasie, odkąd interfejs API REST został dyskretnie włączony dla każdej witryny, wykryto i naprawiono 20 (dwadzieścia) błędów. To dość dużo błędów jak na technologię, która pozwala każdemu wykonywać zadania administracyjne na stronie internetowej w tle.
Wtyczka WP Cerber Security umożliwia całkowite ograniczenie lub zablokowanie dostępu do interfejsu API REST. Bez względu na to, ile błędów ma REST API.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback