Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken
Ein kritischer Fehler in WordPress ermöglicht es Hackern, problemlos jeden Beitrag auf Ihrer Website zu bearbeiten.
English version: Why it’s important to restrict access to the WP REST API
Haben Sie eine WordPress-basierte Website? Glückwunsch! Sie bieten ein großartiges Tool für Hacker. Es heißt WordPress REST API und ist standardmäßig aktiviert. REST API ist eine Technologie, die es ermöglicht, nahezu alle Aktionen oder Verwaltungsaufgaben auf einer Website aus der Ferne auszuführen. Die WP REST API ist ab WordPress Version 4.7.0 standardmäßig aktiviert.
Übernehmen Sie die Kontrolle über die REST-API: So beschränken Sie den Zugriff auf die WordPress-REST-API
Die WordPress REST API ist heutzutage keine ganz ausgereifte Technologie und ihr Code enthält viele unvorhergesehene Fehler. Aus diesem Grund müssen Sie den Zugriff auf die REST-API mit einem Sicherheits-Plugin wie WP Cerber einschränken. Bitte nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich wurde direkt nach der Veröffentlichung einer neuen Version von WordPress 4.7 ein kritischer Fehler gefunden. Dieser Fehler ermöglicht es unbefugten Besuchern, Beiträge auf Ihrer Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team in WordPress 4.7.2 behoben.
Die Vorgängerversion WordPress 4.7.1 wurde als Security and Maintenance Release angekündigt und enthält Korrekturen für acht Fehler . Leider wurde der REST-API-Fehler noch nicht behoben. Dadurch bleiben Millionen von Websites auf der ganzen Welt ungeschützt. Es ist kaum zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann mehrere Wochen dauern. Wie viele Websites wurden gehackt und infiziert?
Seitdem die REST-API stillschweigend für jede Website aktiviert wurde, wurden inzwischen 20 (zwanzig) Fehler entdeckt und behoben. Es gibt ziemlich viele Fehler in der Technologie, die es jedem ermöglicht, Verwaltungsaufgaben auf einer Website im Hintergrundmodus auszuführen.
Mit dem WP Cerber Security-Plugin können Sie den Zugriff auf die REST-API vollständig einschränken oder blockieren. Egal wie viele Fehler die REST-API hat.
WP Cerber Security 9.5
WP Cerber Security 9.5.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback