Beschränken Sie den Zugriff auf die WordPress REST API
Es ist an der Zeit, die Kontrolle über die WordPress-REST-API zu übernehmen
English version: Restrict access to the WordPress REST API
Mit WP Cerber Security können Sie den Zugriff auf die standardmäßig aktivierte WordPress-REST-API einschränken oder vollständig blockieren. Um den Schutz zu aktivieren, gehen Sie zur Registerkarte „Härtung“ und aktivieren Sie „Zugriff auf die WordPress-REST-API blockieren, mit Ausnahme einer der folgenden Optionen“ . Dadurch wird der Zugriff auf die REST-API blockiert, es sei denn, Sie gewähren in den Einstellungsfeldern unten Zugriff darauf oder fügen der White IP Access List eine IP hinzu.
Restrict access to WordPress REST API
Wenn Sie Contact Form 7, Jetpack oder ein anderes Plugin verwenden, das die REST-API verwendet, müssen Sie deren REST-API-Namespaces wie unten beschrieben auf die Whitelist setzen.
Erlauben Sie den Zugriff auf einen bestimmten REST-API-Namespace
Ein REST-API-Namespace ist ein Teil einer Anfrage-URL, der es WordPress ermöglicht zu erkennen, welcher Programmcode eine bestimmte REST-API-Anfrage verarbeitet. Um den Namespace zu erhalten, nehmen Sie eine Zeichenfolge zwischen /wp-json/ und dem nächsten Schrägstrich in der REST-URL. Jedes Plugin, das die REST-API verwendet, verwendet seinen eigenen eindeutigen Namensraum. Die folgende Tabelle zeigt Namespaces für einige Plugins.
| Plugin | Namensraum |
| Kontaktformular 7 | contact-form-7 |
| Caldera-Formen | cf-api |
| Yoast SEO | yoast |
| Jetpack | jetpack |
Geben Sie bei Bedarf Namespace-Ausnahmen für die REST-API an, wie im Screenshot gezeigt
Erlauben Sie Ihren Benutzern die Verwendung der REST-API
Aktivieren Sie „REST API für angemeldete Benutzer zulassen“, wenn Sie die Verwendung der REST API für jeden autorisierten (angemeldeten) WordPress-Benutzer ohne Einschränkung zulassen möchten.
Beschränken Sie den Zugriff auf die WordPress REST API nach IP-Adressen
Um den Zugriff auf die REST-API von einer bestimmten IP-Adresse oder einem IP-Netzwerk aus zu ermöglichen, fügen Sie diese zur White IP Access List hinzu.
Um den Zugriff auf die REST-API von einer bestimmten IP-Adresse oder einem IP-Netzwerk vollständig zu blockieren, fügen Sie diese zur Black IP Access List hinzu.
Weiterlesen: IP-Zugriffslisten zum Schutz von WordPress verwenden
So stoppen Sie die Benutzeraufzählung der REST-API
Um den Zugriff auf Benutzerdaten zu blockieren und die Benutzeraufzählung über die REST-API zu stoppen, müssen Sie auf der Registerkarte „Härtung“ die Einstellung „Zugriff auf Benutzerdaten über die REST-API blockieren“ aktivieren. Diese Sicherheitsfunktion soll Hacker erkennen und verhindern, dass sie Ihre Website nach Benutzeranmeldungen und vertraulichen Benutzerdaten durchsuchen.
Wenn es aktiviert ist, blockiert Cerber alle Anfragen an die REST-API und gibt den HTTP-403-Fehler zurück. Sie können solche Ereignisse auf der Registerkarte Aktivität überwachen. Sie werden als „Anfrage an REST-API verweigert“ protokolliert.
Der Zugriff auf Benutzerdaten über die WordPress REST API wird immer in zwei Fällen gewährt:
- Bei Administratorkonten, d. h. wenn „Benutzeraufzählung stoppen“ über die REST-API aktiviert ist, haben alle Benutzer mit der Administratorrolle immer Zugriff auf die Benutzerdaten
- Für alle IP-Adressen in der White IP Access List
Was ist eine REST-API?
Kurz gesagt handelt es sich um eine Technologie, die es zwei verschiedenen Codeteilen (Anwendungen) ermöglicht, miteinander zu kommunizieren und Daten auf standardisierte Weise auszutauschen. Mithilfe der REST-API können Entwickler WordPress-Inhalte aus externen Anwendungen erstellen, lesen und aktualisieren, die auf einem Remote-Computer oder einer Website ausgeführt werden. Die WP REST API ist ab der WordPress-Version 4.7.0 standardmäßig aktiviert.
Lesen Sie mehr: Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken
Entwicklerdokumentation: https://developer.wordpress.org/rest-api/
Wussten Sie, dass Sie REST-API-Einstellungen auf einer beliebigen Anzahl von Websites aus der Ferne verwalten können? Aktivieren Sie einen Hauptwebsite-Modus auf der Hauptwebsite von Cerber.Hub und einen verwalteten Website-Modus auf Ihren anderen Websites, um alle WP Cerber-Instanzen über ein Dashboard zu verwalten.
Nächste Schritte, die Ihre WordPress-Sicherheit stärken
- So blockieren Sie Spam-Benutzerregistrierungen
- So blockieren Sie Spam-Formulareinsendungen
- So blockieren Sie einen WordPress-Benutzer
- So blockieren Sie den Zugriff von einer bestimmten IP-Adresse
- So deaktivieren Sie die Verwendung eines bestimmten Benutzernamens
Was ist überhaupt die Cerber-Sicherheit? Es handelt sich um eine vollständige Sicherheitslösung für WordPress, die aus einem einfachen, aber effektiven Plugin zur Begrenzung der Anmeldeversuche entwickelt wurde.
So begrenzen Sie die Anzahl gleichzeitiger Benutzersitzungen in WordPress
WP Cerber Security 8.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.