WordPress security explained
WordPress security explained

Warum ist es wichtig, den Zugang zum WP-REST-API zu beschränken

Ein kritischer Bug in WordPress erlaubt es Hackern, jeden Post auf Ihrer Website einfach zu bearbeiten.


English version: Why it’s important to restrict access to the WP REST API


Haben Sie eine WordPress-basierte Website? Herzliche Glückwünsche! Sie bieten ein hervorragendes Werkzeug für Hacker. Es heißt WordPress REST API und ist standardmäßig aktiviert. Die REST-API ist eine Technologie, mit der nahezu alle Aktionen oder Verwaltungsaufgaben auf einer Website remote ausgeführt werden können. Die WP-REST-API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Übernehmen Sie die Kontrolle über die REST-API: Beschränken des Zugriffs auf die WordPress-REST-API

Die WordPress-REST-API ist heutzutage keine ausgereifte Technologie und der Code enthält viele unvorhergesehene Fehler. Aus diesem Grund müssen Sie den Zugriff auf die REST-API mit einem Sicherheits-Plugin wie WP Cerber einschränken. Bitte nehmen Sie es ernst, Jungs, denn ich habe schlechte Neuigkeiten für Sie. Unmittelbar nach der Veröffentlichung einer neuen Version von WordPress 4.7 wurde ein kritischer Fehler gefunden. Dieser Fehler ermöglicht es unautorisierten Besuchern, Beiträge auf Ihrer Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1 wurde als Sicherheits- und Wartungsversion angekündigt und behebt acht Fehler . Leider wurde der REST-API-Fehler noch nicht behoben. Dadurch bleiben Millionen von Websites auf der ganzen Welt ungeschützt. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf gemeinsam genutzten Hostings kann bis zu mehreren Wochen dauern. Wie viele Websites wurden gehackt und infiziert?

Mittlerweile wurden 20 (zwanzig) Fehler entdeckt und behoben, da die REST-API für jede Website unbeaufsichtigt aktiviert wurde. Es ist eine Menge Fehler für die Technologie, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrundmodus auszuführen.

Mit dem WP Cerber Security-Plugin können Sie den Zugriff auf die REST-API vollständig einschränken oder blockieren. Egal wie viele Fehler die REST-API hat.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments