Beschränken Sie den Zugriff auf die WordPress-REST-API
Es ist an der Zeit, die Kontrolle über die WordPress REST API zu übernehmen
English version: Restrict access to the WordPress REST API
Mit WP Cerber Security können Sie den Zugriff auf die standardmäßig aktivierte WordPress-REST-API einschränken oder vollständig blockieren. Um den Schutz zu aktivieren, gehen Sie zur Registerkarte Hardening und aktivieren Sie Block access to WordPress REST API mit Ausnahme der folgenden . Dadurch wird der Zugriff auf die REST-API blockiert, es sei denn, Sie gewähren Zugriff darauf in den Einstellungsfeldern unten oder fügen eine IP zur White IP Access List hinzu.
Restrict access to WordPress REST API
Wenn Sie Contact Form 7, Jetpack oder ein anderes Plug-in verwenden, das die REST-API verwendet, müssen Sie seine REST-API-Namespaces wie unten beschrieben auf die Whitelist setzen.
Erlauben Sie den Zugriff auf einen bestimmten REST-API-Namespace
Ein REST-API-Namespace ist ein Teil einer Anfrage-URL, die es WordPress ermöglicht, zu erkennen, welcher Programmcode eine bestimmte REST-API-Anfrage verarbeitet. Um den Namespace abzurufen, nehmen Sie eine Zeichenfolge zwischen /wp-json/ und dem nächsten Schrägstrich in der REST-URL. Jedes Plugin, das die REST-API verwendet, verwendet seinen eigenen eindeutigen Namensraum. Die folgende Tabelle zeigt Namespaces für einige Plugins.
| Plugin | Namensraum |
| Kontaktformular 7 | contact-form-7 |
| Caldera-Formen | cf-api |
| Yoast-SEO | yoast |
| Jetpack | jetpack |
Geben Sie Namespace-Ausnahmen für die REST-API an, wenn dies erforderlich ist, wie im Screenshot gezeigt
Erlauben Sie Ihren Benutzern, die REST-API zu verwenden
Aktivieren Sie REST-API für angemeldete Benutzer zulassen, wenn Sie die Verwendung der REST-API für jeden autorisierten (eingeloggten) WordPress-Benutzer ohne Einschränkung zulassen möchten.
Beschränken Sie den Zugriff auf die WordPress-REST-API nach IP-Adressen
Um den Zugriff auf die REST-API von einer bestimmten IP-Adresse oder einem IP-Netzwerk aus zuzulassen, fügen Sie diese zur White IP Access List hinzu.
Um den Zugriff auf die REST-API von einer bestimmten IP-Adresse oder einem IP-Netzwerk vollständig zu blockieren, fügen Sie sie der Black IP Access List hinzu.
Lesen Sie mehr: Verwendung von IP-Zugriffslisten zum Schutz von WordPress
So stoppen Sie die REST-API-Benutzeraufzählung
Um den Zugriff auf Benutzerdaten zu blockieren und die Benutzeraufzählung über die REST-API zu stoppen, müssen Sie die Einstellung Zugriff auf Benutzerdaten über die REST-API blockieren auf der Registerkarte Härtung aktivieren. Diese Sicherheitsfunktion soll Hacker erkennen und daran hindern, Ihre Website nach Benutzeranmeldungen und sensiblen Benutzerdaten zu scannen.
Wenn es aktiviert ist, blockiert Cerber alle Anfragen an die REST-API und gibt den HTTP-Fehler 403 zurück. Sie können solche Ereignisse auf der Registerkarte Aktivität überwachen. Sie werden als „Request to REST API denied“ protokolliert.
Der Zugriff auf Benutzerdaten über die WordPress-REST-API wird immer in zwei Fällen gewährt:
- Bei Administratorkonten, d. h. wenn „Benutzeraufzählung stoppen“ über die REST-API aktiviert ist, haben alle Benutzer mit der Administratorrolle immer Zugriff auf die Daten der Benutzer
- Für alle IP-Adressen in der White IP Access List
Was ist REST-API?
Kurz gesagt handelt es sich um eine Technologie, die es zwei verschiedenen Codeteilen (Anwendungen) ermöglicht, miteinander zu kommunizieren und Daten auf standardisierte Weise auszutauschen. Die Verwendung der REST-API ermöglicht es Entwicklern, WordPress-Inhalte aus externen Anwendungen zu erstellen, zu lesen und zu aktualisieren, die auf einem Remote-Computer oder einer Website ausgeführt werden. Die WP REST API ist ab der WordPress-Version 4.7.0 standardmäßig aktiviert.
Lesen Sie mehr: Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken
Entwicklerdokumentation: https://developer.wordpress.org/rest-api/
Wussten Sie, dass Sie REST-API-Einstellungen auf beliebig vielen Websites remote verwalten können? Aktivieren Sie einen Haupt-Website-Modus auf der Haupt- Cerber.Hub -Website und einen verwalteten Website-Modus auf Ihren anderen Websites, um alle WP Cerber-Instanzen von einem Dashboard aus zu verwalten.
Nächste Schritte, die Ihre WordPress-Sicherheit stärken
- So blockieren Sie Spam-Benutzerregistrierungen
- So blockieren Sie das Senden von Spam-Formularen
- So blockieren Sie einen WordPress-Benutzer
- So blockieren Sie den Zugriff von einer bestimmten IP-Adresse
- So deaktivieren Sie die Verwendung eines bestimmten Benutzernamens
Was ist überhaupt die Cerber-Sicherheit? Es ist eine vollständige Sicherheitslösung für WordPress, die aus einem einfachen, aber effektiven Plugin zur Begrenzung von Anmeldeversuchen entwickelt wurde.
WP Cerber Security 8.7
Einfaches Verwalten von Passwörtern für WordPress-Anwendungen
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.