Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken
Ein kritischer Fehler in WordPress ermöglicht es Hackern, problemlos jeden Beitrag auf Ihrer Website zu bearbeiten.
English version: Why it’s important to restrict access to the WP REST API
Besitzen Sie eine WordPress-Website? Herzlichen Glückwunsch! Sie bieten Hackern ein hervorragendes Werkzeug. Die WordPress REST API ist standardmäßig aktiviert. REST API ist eine Technologie, mit der Sie nahezu alle Aktionen und Verwaltungsaufgaben auf einer Website remote ausführen können. Die WP REST API ist ab WordPress Version 4.7.0 standardmäßig aktiviert.
Übernehmen Sie die Kontrolle über die REST-API: So beschränken Sie den Zugriff auf die WordPress-REST-API
Die WordPress REST API ist technisch noch nicht ausgereift und ihr Code enthält zahlreiche unvorhergesehene Fehler. Deshalb sollten Sie den Zugriff auf die REST API mit einem Sicherheits-Plugin wie WP Cerber einschränken. Nehmt das bitte ernst, denn ich habe schlechte Nachrichten für euch: Kürzlich, direkt nach der Veröffentlichung der neuen Version von WordPress 4.7, wurde ein kritischer Fehler entdeckt. Dieser Fehler ermöglicht es unbefugten Besuchern, Beiträge auf eurer Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst entdeckt und vom WordPress-Team in WordPress 4.7.2 behoben.
Die Vorgängerversion WordPress 4.7.1 wurde als Sicherheits- und Wartungsversion angekündigt und enthält Fehlerbehebungen für acht Fehler . Leider wurde der REST-API-Fehler noch nicht behoben. Dadurch bleiben Millionen von Websites weltweit ungeschützt. Kaum zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann mehrere Wochen dauern. Wie viele Websites wurden gehackt und infiziert?
Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Das sind ziemlich viele Fehler für eine Technologie, die es jedem ermöglicht, Verwaltungsaufgaben auf einer Website im Hintergrund auszuführen.
Mit dem WP Cerber Security Plugin können Sie den Zugriff auf die REST-API vollständig einschränken oder blockieren. Unabhängig davon, wie viele Fehler die REST-API aufweist.
WordPress 5.4.1. Ein Sicherheitsupdate behebt sieben XSS-Schwachstellen
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback