WordPress Security How To
WordPress Security How To

Beschränken Sie den Zugriff auf die WordPress REST API

Es ist an der Zeit, die Kontrolle über die WordPress-REST-API zu übernehmen


English version: Restrict access to the WordPress REST API


Mit WP Cerber Security können Sie den Zugriff auf die standardmäßig aktivierte WordPress-REST-API einschränken oder vollständig blockieren. Um den Schutz zu aktivieren, gehen Sie zur Registerkarte „Härtung“ und aktivieren Sie „Zugriff auf die WordPress-REST-API blockieren, mit Ausnahme einer der folgenden Optionen“ . Dadurch wird der Zugriff auf die REST-API blockiert, es sei denn, Sie gewähren in den Einstellungsfeldern unten Zugriff darauf oder fügen der White IP Access List eine IP hinzu.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Wenn Sie Contact Form 7, Jetpack oder ein anderes Plugin verwenden, das die REST-API verwendet, müssen Sie deren REST-API-Namespaces wie unten beschrieben auf die Whitelist setzen.

Erlauben Sie den Zugriff auf einen bestimmten REST-API-Namespace

Ein REST-API-Namespace ist ein Teil einer Anfrage-URL, der es WordPress ermöglicht zu erkennen, welcher Programmcode eine bestimmte REST-API-Anfrage verarbeitet. Um den Namespace zu erhalten, nehmen Sie eine Zeichenfolge zwischen /wp-json/ und dem nächsten Schrägstrich in der REST-URL. Jedes Plugin, das die REST-API verwendet, verwendet seinen eigenen eindeutigen Namensraum. Die folgende Tabelle zeigt Namespaces für einige Plugins.

Plugin Namensraum
Kontaktformular 7 contact-form-7
Caldera-Formen cf-api
Yoast SEO yoast
Jetpack jetpack

Geben Sie bei Bedarf Namespace-Ausnahmen für die REST-API an, wie im Screenshot gezeigt

Erlauben Sie Ihren Benutzern die Verwendung der REST-API

Aktivieren Sie „REST API für angemeldete Benutzer zulassen“, wenn Sie die Verwendung der REST API für jeden autorisierten (angemeldeten) WordPress-Benutzer ohne Einschränkung zulassen möchten.

Beschränken Sie den Zugriff auf die WordPress REST API nach IP-Adressen

Um den Zugriff auf die REST-API von einer bestimmten IP-Adresse oder einem IP-Netzwerk aus zu ermöglichen, fügen Sie diese zur White IP Access List hinzu.

Um den Zugriff auf die REST-API von einer bestimmten IP-Adresse oder einem IP-Netzwerk vollständig zu blockieren, fügen Sie diese zur Black IP Access List hinzu.

Weiterlesen: IP-Zugriffslisten zum Schutz von WordPress verwenden

So stoppen Sie die Benutzeraufzählung der REST-API

Um den Zugriff auf Benutzerdaten zu blockieren und die Benutzeraufzählung über die REST-API zu stoppen, müssen Sie auf der Registerkarte „Härtung“ die Einstellung „Zugriff auf Benutzerdaten über die REST-API blockieren“ aktivieren. Diese Sicherheitsfunktion soll Hacker erkennen und verhindern, dass sie Ihre Website nach Benutzeranmeldungen und vertraulichen Benutzerdaten durchsuchen.

Wenn es aktiviert ist, blockiert Cerber alle Anfragen an die REST-API und gibt den HTTP-403-Fehler zurück. Sie können solche Ereignisse auf der Registerkarte Aktivität überwachen. Sie werden als „Anfrage an REST-API verweigert“ protokolliert.

Der Zugriff auf Benutzerdaten über die WordPress REST API wird immer in zwei Fällen gewährt:

  1. Bei Administratorkonten, d. h. wenn „Benutzeraufzählung stoppen“ über die REST-API aktiviert ist, haben alle Benutzer mit der Administratorrolle immer Zugriff auf die Benutzerdaten
  2. Für alle IP-Adressen in der White IP Access List

Was ist eine REST-API?

Kurz gesagt handelt es sich um eine Technologie, die es zwei verschiedenen Codeteilen (Anwendungen) ermöglicht, miteinander zu kommunizieren und Daten auf standardisierte Weise auszutauschen. Mithilfe der REST-API können Entwickler WordPress-Inhalte aus externen Anwendungen erstellen, lesen und aktualisieren, die auf einem Remote-Computer oder einer Website ausgeführt werden. Die WP REST API ist ab der WordPress-Version 4.7.0 standardmäßig aktiviert.

Lesen Sie mehr: Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Entwicklerdokumentation: https://developer.wordpress.org/rest-api/

Wussten Sie, dass Sie REST-API-Einstellungen auf einer beliebigen Anzahl von Websites aus der Ferne verwalten können? Aktivieren Sie einen Hauptwebsite-Modus auf der Hauptwebsite von Cerber.Hub und einen verwalteten Website-Modus auf Ihren anderen Websites, um alle WP Cerber-Instanzen über ein Dashboard zu verwalten.

Nächste Schritte, die Ihre WordPress-Sicherheit stärken

Was ist überhaupt die Cerber-Sicherheit? Es handelt sich um eine vollständige Sicherheitslösung für WordPress, die aus einem einfachen, aber effektiven Plugin zur Begrenzung der Anmeldeversuche entwickelt wurde.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments