Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken
Ein kritischer Fehler in WordPress ermöglicht es Hackern, jeden Beitrag auf Ihrer Website problemlos zu bearbeiten.
English version: Why it’s important to restrict access to the WP REST API
Betreiben Sie eine WordPress-Website? Herzlichen Glückwunsch! Sie bieten Hackern ein ideales Werkzeug: die WordPress REST API , die standardmäßig aktiviert ist. Die REST API ist eine Technologie, mit der sich nahezu alle Aktionen und administrativen Aufgaben auf einer Website remote ausführen lassen. Die WP REST API ist ab WordPress-Version 4.7.0 standardmäßig aktiviert.
Die Kontrolle über die REST-API übernehmen: So beschränken Sie den Zugriff auf die WordPress REST-API
Die WordPress REST API ist heutzutage noch nicht ausgereift und ihr Code enthält viele unvorhergesehene Fehler. Deshalb sollten Sie den Zugriff auf die REST API mit einem Sicherheits-Plugin wie WP Cerber einschränken. Bitte nehmen Sie das ernst, denn ich habe schlechte Nachrichten für Sie. Kurz nach der Veröffentlichung von WordPress 4.7 wurde ein kritischer Fehler entdeckt. Dieser Fehler ermöglicht es unbefugten Besuchern, beliebige Beiträge auf Ihrer Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team in Version 4.7.2 behoben.
Die vorherige Version WordPress 4.7.1 wurde als Sicherheits- und Wartungsupdate veröffentlicht und behebt acht Fehler . Leider war der Fehler in der REST-API noch nicht behoben. Dadurch sind Millionen von Websites weltweit ungeschützt. Kaum zu glauben, aber die Aktualisierung von WordPress auf Shared-Hosting-Servern kann mehrere Wochen dauern. Wie viele Websites wurden wohl bereits gehackt und infiziert?
In der Zwischenzeit, seit die REST-API stillschweigend für jede Website aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Das ist eine beträchtliche Anzahl an Fehlern für eine Technologie, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.
Das WP Cerber Security-Plugin ermöglicht es Ihnen, den Zugriff auf die REST-API vollständig einzuschränken oder zu blockieren. Unabhängig davon, wie viele Fehler die REST-API aufweist.
WP Cerber Security 8.7
WordPress-Anwendungspasswörter problemlos verwalten
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback