Restringir el acceso a la API REST de WordPress
Es hora de tomar el control de la API REST de WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security le permite restringir o bloquear completamente el acceso a la API REST de WordPress que está habilitada de forma predeterminada. Para habilitar la protección, vaya a la pestaña Reforzamiento y habilite Bloquear el acceso a la API REST de WordPress excepto cualquiera de los siguientes . Esto bloquea el acceso a la API REST a menos que le otorgue acceso en los campos de configuración a continuación o agregue una IP a la Lista de acceso de IP blanca.
Restrict access to WordPress REST API
Si utiliza Contact Form 7, Jetpack u otro complemento que utilice la API REST, debe incluir en la lista blanca sus espacios de nombres de la API REST como se describe a continuación.
Permitir el acceso a un espacio de nombres de API REST específico
Un espacio de nombres de API REST es parte de una URL de solicitud que permite a WordPress reconocer qué código de programa procesa una determinada solicitud de API REST. Para obtener el espacio de nombres, tome una cadena entre /wp-json/ y la siguiente barra en la URL REST. Cada complemento que utiliza REST API utiliza su propio espacio de nombres único. La siguiente tabla muestra espacios de nombres para algunos complementos.
| Enchufar | Espacio de nombres |
| Formulario de contacto 7 | contact-form-7 |
| Formas de caldera | cf-api |
| Yoast SEO | yoast |
| mochila propulsora | jetpack |
Especifique excepciones de espacio de nombres para la API REST si es necesario, como se muestra en la captura de pantalla.
Permita que sus usuarios utilicen la API REST
Habilite Permitir API REST para usuarios que hayan iniciado sesión si desea permitir el uso de API REST para cualquier usuario de WordPress autorizado (que haya iniciado sesión) sin limitación.
Restringir el acceso a la API REST de WordPress por direcciones IP
Para permitir el acceso a la API REST desde una dirección IP específica o una red IP, agréguelos a la Lista blanca de acceso a IP .
Para bloquear completamente el acceso a la API REST desde una dirección IP específica o una red IP, agréguelos a la Lista negra de acceso a IP .
Leer más: Uso de listas de acceso de IP para proteger WordPress
Cómo detener la enumeración de usuarios de la API REST
Para bloquear el acceso a los datos de los usuarios y detener la enumeración de usuarios a través de la API REST, debe habilitar la configuración Bloquear el acceso a los datos de los usuarios a través de la API REST en la pestaña Reforzamiento. Esta característica de seguridad está diseñada para detectar y evitar que los piratas informáticos escaneen su sitio en busca de inicios de sesión de usuarios y datos confidenciales de los usuarios.
Cuando está habilitado, Cerber bloquea todas las solicitudes a la API REST y devuelve el error HTTP 403. Puede monitorear dichos eventos en la pestaña Actividad. Se registran como "Solicitud de API REST denegada".
El acceso a los datos de los usuarios a través de la API REST de WordPress siempre se concede en dos casos:
- Para cuentas de administrador, lo que significa que si está habilitado "Detener enumeración de usuarios" a través de la API REST, todos los usuarios con el rol de administrador siempre tendrán acceso a los datos de los usuarios.
- Para todas las direcciones IP en la Lista blanca de acceso a IP
¿Qué es la API REST?
En pocas palabras, es una tecnología que permite que dos fragmentos de código diferentes (aplicaciones) se comuniquen entre sí e intercambien datos de forma estandarizada. El uso de REST API permite a los desarrolladores crear, leer y actualizar contenido de WordPress desde aplicaciones externas que se ejecutan en una computadora remota o en un sitio web. La API REST de WP está habilitada de forma predeterminada a partir de la versión 4.7.0 de WordPress.
Leer más: Por qué es importante restringir el acceso a la API REST de WP
Documentación para desarrolladores: https://developer.wordpress.org/rest-api/
¿Sabe que puede administrar la configuración de la API REST en cualquier número de sitios web de forma remota? Habilite un modo de sitio web principal en el sitio web principal de Cerber.Hub y un modo de sitio web administrado en sus otros sitios web para administrar todas las instancias de WP Cerber desde un solo panel.
Próximos pasos que fortalecerán su seguridad de WordPress
- Cómo bloquear registros de usuarios spam
- Cómo bloquear envíos de formularios de spam
- Cómo bloquear a un usuario de WordPress
- Cómo bloquear el acceso desde una dirección IP específica
- Cómo deshabilitar el uso de un nombre de usuario específico
¿Qué es Cerber Security, de todos modos? Es una solución de seguridad completa para WordPress que evoluciona a partir de un complemento de límite de intentos de inicio de sesión simple pero efectivo.
WP Cerber Security 8.7
Administrar las contraseñas de las aplicaciones de WordPress sin problemas
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.