Restringir el acceso a WordPress API REST
Es hora de tomar el control de la API REST de WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security le permite restringir o bloquear completamente el acceso a la API REST de WordPress, que está habilitada de forma predeterminada. Para habilitar la protección, vaya a la pestaña Hardening y habilite el acceso Bloquear a la API REST de WordPress, excepto en cualquiera de los siguientes .
Si usa el Formulario de contacto 7, Jetpack u otro complemento que haga uso de la API REST, debe incluir en la lista blanca los espacios de nombres de la API REST como se describe a continuación.
Permitir el acceso a un determinado espacio de nombres de la API REST
¿Qué es el espacio de nombres? El espacio de nombres es una parte de una URL de solicitud que permite a WordPress reconocer qué complemento o parte de código debe servir una determinada solicitud de API REST. Para obtener el espacio de nombres, tome una cadena entre / wp-json / y la barra diagonal siguiente en la URL de REST. Cada complemento que utiliza la API REST utiliza su propio espacio de nombres único. La siguiente tabla muestra los espacios de nombres para algunos complementos.
Enchufar | Espacio de nombres |
Formulario de contacto 7 | contact-form-7 |
Formas de caldera | cf-api |
Yoast SEO | yoast |
Jetpack | jetpack |
Especifique las excepciones de espacio de nombres para la API REST si es necesario como se muestra en la captura de pantalla
Permitir a sus usuarios utilizar la API REST
Habilite Permitir REST API para usuarios registrados si desea permitir el uso de REST API para cualquier usuario de WordPress autorizado (registrado) sin limitación.
Restrinja el acceso a la API REST de WordPress por dirección IP o red IP
Para permitir el acceso a la API REST para una dirección IP específica o una red IP, agréguelas a la Lista de acceso IP blanca.
Para bloquear el acceso a la API REST para una dirección IP específica o una red IP, agréguelas a la Lista de acceso de IP negra.
Leer más: Uso de listas de acceso IP para proteger WordPress
Protección contra la enumeración de usuarios REST API
Para detener la enumeración de usuarios y bloquear el acceso a los detalles de los usuarios a través de la API REST, solo tiene que habilitar la opción Detener enumeración de usuarios en la pestaña Hardening WordPress. Esta función de seguridad está diseñada para detectar y evitar que los piratas informáticos escaneen su sitio en busca de nombres de usuario y detalles del usuario. Cuando está habilitado, Cerber Security bloquea tanto la enumeración de usuarios de la API REST como las solicitudes de enumeración de usuarios tradicionales para páginas de archivo de autor con URL como /? Autor = n. Por lo tanto, nadie tendrá acceso a los detalles del usuario a través de la API REST a menos que usted permita el acceso a ellos como se describe anteriormente.
¿Qué es la API REST, de todos modos?
En resumen, es una tecnología que permite que dos partes diferentes de código (aplicaciones) se comuniquen entre sí e intercambien datos de forma estandarizada. El uso de la API REST permite a los desarrolladores crear, leer y actualizar contenido de WordPress desde aplicaciones externas que se ejecutan en una computadora diferente o un sitio web. La API de REST WP está habilitada de forma predeterminada a partir de la versión 4.7.0 de WordPress.
Leer más: por qué es importante restringir el acceso a la API REST de WP
Documentación para desarrolladores: https://developer.wordpress.org/rest-api/
Próximos pasos que fortalecerán la seguridad de WordPress.
- Cómo bloquear los registros de usuarios de spam
- Cómo bloquear envíos de formularios de spam
- Cómo bloquear un usuario de WordPress
- Cómo bloquear el acceso desde una dirección IP específica
- Cómo deshabilitar el uso de un nombre de usuario específico
¿Cuál es la seguridad Cerber, de todos modos? Es una solución de seguridad completa para WordPress que se ha desarrollado a partir de un sencillo pero efectivo complemento de intentos de inicio de sesión .
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.