WordPress Security How To
WordPress Security How To

Beschränken Sie den Zugriff auf die WordPress-REST-API

Es ist an der Zeit, die Kontrolle über die WordPress REST API zu übernehmen


English version: Restrict access to the WordPress REST API


Mit WP Cerber Security können Sie den Zugriff auf die standardmäßig aktivierte WordPress-REST-API einschränken oder vollständig blockieren. Um den Schutz zu aktivieren, gehen Sie zur Registerkarte Hardening und aktivieren Sie Block access to WordPress REST API mit Ausnahme der folgenden . Dadurch wird der Zugriff auf die REST-API blockiert, es sei denn, Sie gewähren Zugriff darauf in den Einstellungsfeldern unten oder fügen eine IP zur White IP Access List hinzu.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Wenn Sie Contact Form 7, Jetpack oder ein anderes Plug-in verwenden, das die REST-API verwendet, müssen Sie seine REST-API-Namespaces wie unten beschrieben auf die Whitelist setzen.

Erlauben Sie den Zugriff auf einen bestimmten REST-API-Namespace

Ein REST-API-Namespace ist ein Teil einer Anfrage-URL, die es WordPress ermöglicht, zu erkennen, welcher Programmcode eine bestimmte REST-API-Anfrage verarbeitet. Um den Namespace abzurufen, nehmen Sie eine Zeichenfolge zwischen /wp-json/ und dem nächsten Schrägstrich in der REST-URL. Jedes Plugin, das die REST-API verwendet, verwendet seinen eigenen eindeutigen Namensraum. Die folgende Tabelle zeigt Namespaces für einige Plugins.

Plugin Namensraum
Kontaktformular 7 contact-form-7
Caldera-Formen cf-api
Yoast-SEO yoast
Jetpack jetpack

Geben Sie Namespace-Ausnahmen für die REST-API an, wenn dies erforderlich ist, wie im Screenshot gezeigt

Erlauben Sie Ihren Benutzern, die REST-API zu verwenden

Aktivieren Sie REST-API für angemeldete Benutzer zulassen, wenn Sie die Verwendung der REST-API für jeden autorisierten (eingeloggten) WordPress-Benutzer ohne Einschränkung zulassen möchten.

Beschränken Sie den Zugriff auf die WordPress-REST-API nach IP-Adressen

Um den Zugriff auf die REST-API von einer bestimmten IP-Adresse oder einem IP-Netzwerk aus zuzulassen, fügen Sie diese zur White IP Access List hinzu.

Um den Zugriff auf die REST-API von einer bestimmten IP-Adresse oder einem IP-Netzwerk vollständig zu blockieren, fügen Sie sie der Black IP Access List hinzu.

Lesen Sie mehr: Verwendung von IP-Zugriffslisten zum Schutz von WordPress

So stoppen Sie die REST-API-Benutzeraufzählung

Um den Zugriff auf Benutzerdaten zu blockieren und die Benutzeraufzählung über die REST-API zu stoppen, müssen Sie die Einstellung Zugriff auf Benutzerdaten über die REST-API blockieren auf der Registerkarte Härtung aktivieren. Diese Sicherheitsfunktion soll Hacker erkennen und daran hindern, Ihre Website nach Benutzeranmeldungen und sensiblen Benutzerdaten zu scannen.

Wenn es aktiviert ist, blockiert Cerber alle Anfragen an die REST-API und gibt den HTTP-Fehler 403 zurück. Sie können solche Ereignisse auf der Registerkarte Aktivität überwachen. Sie werden als „Request to REST API denied“ protokolliert.

Der Zugriff auf Benutzerdaten über die WordPress-REST-API wird immer in zwei Fällen gewährt:

  1. Bei Administratorkonten, d. h. wenn „Benutzeraufzählung stoppen“ über die REST-API aktiviert ist, haben alle Benutzer mit der Administratorrolle immer Zugriff auf die Daten der Benutzer
  2. Für alle IP-Adressen in der White IP Access List

Was ist REST-API?

Kurz gesagt handelt es sich um eine Technologie, die es zwei verschiedenen Codeteilen (Anwendungen) ermöglicht, miteinander zu kommunizieren und Daten auf standardisierte Weise auszutauschen. Die Verwendung der REST-API ermöglicht es Entwicklern, WordPress-Inhalte aus externen Anwendungen zu erstellen, zu lesen und zu aktualisieren, die auf einem Remote-Computer oder einer Website ausgeführt werden. Die WP REST API ist ab der WordPress-Version 4.7.0 standardmäßig aktiviert.

Lesen Sie mehr: Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Entwicklerdokumentation: https://developer.wordpress.org/rest-api/

Wussten Sie, dass Sie REST-API-Einstellungen auf beliebig vielen Websites remote verwalten können? Aktivieren Sie einen Haupt-Website-Modus auf der Haupt- Cerber.Hub -Website und einen verwalteten Website-Modus auf Ihren anderen Websites, um alle WP Cerber-Instanzen von einem Dashboard aus zu verwalten.

Nächste Schritte, die Ihre WordPress-Sicherheit stärken

Was ist überhaupt die Cerber-Sicherheit? Es ist eine vollständige Sicherheitslösung für WordPress, die aus einem einfachen, aber effektiven Plugin zur Begrenzung von Anmeldeversuchen entwickelt wurde.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to situs slot gacor
Cancel Reply