WordPress security explained
WordPress security explained

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Ein kritischer Fehler in WordPress ermöglicht es Hackern, problemlos jeden Beitrag auf Ihrer Website zu bearbeiten.


English version: Why it’s important to restrict access to the WP REST API


Besitzen Sie eine WordPress-Website? Herzlichen Glückwunsch! Sie bieten Hackern ein hervorragendes Werkzeug. Die WordPress REST API ist standardmäßig aktiviert. REST API ist eine Technologie, mit der Sie nahezu alle Aktionen und Verwaltungsaufgaben auf einer Website remote ausführen können. Die WP REST API ist ab WordPress Version 4.7.0 standardmäßig aktiviert.

Übernehmen Sie die Kontrolle über die REST-API: So beschränken Sie den Zugriff auf die WordPress-REST-API

Die WordPress REST API ist technisch noch nicht ausgereift und ihr Code enthält zahlreiche unvorhergesehene Fehler. Deshalb sollten Sie den Zugriff auf die REST API mit einem Sicherheits-Plugin wie WP Cerber einschränken. Nehmt das bitte ernst, denn ich habe schlechte Nachrichten für euch: Kürzlich, direkt nach der Veröffentlichung der neuen Version von WordPress 4.7, wurde ein kritischer Fehler entdeckt. Dieser Fehler ermöglicht es unbefugten Besuchern, Beiträge auf eurer Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst entdeckt und vom WordPress-Team in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1 wurde als Sicherheits- und Wartungsversion angekündigt und enthält Fehlerbehebungen für acht Fehler . Leider wurde der REST-API-Fehler noch nicht behoben. Dadurch bleiben Millionen von Websites weltweit ungeschützt. Kaum zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann mehrere Wochen dauern. Wie viele Websites wurden gehackt und infiziert?

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Das sind ziemlich viele Fehler für eine Technologie, die es jedem ermöglicht, Verwaltungsaufgaben auf einer Website im Hintergrund auszuführen.

Mit dem WP Cerber Security Plugin können Sie den Zugriff auf die REST-API vollständig einschränken oder blockieren. Unabhängig davon, wie viele Fehler die REST-API aufweist.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments