WordPress Security How To
WordPress Security How To

Restringir el acceso a la API REST de WordPress

Es hora de tomar el control de la API REST de WordPress


English version: Restrict access to the WordPress REST API


WP Cerber Security le permite restringir o bloquear completamente el acceso a la API REST de WordPress que está habilitada de forma predeterminada. Para habilitar la protección, vaya a la pestaña Reforzamiento y habilite Bloquear el acceso a la API REST de WordPress excepto cualquiera de los siguientes . Esto bloquea el acceso a la API REST a menos que le otorgue acceso en los campos de configuración a continuación o agregue una IP a la Lista de acceso de IP blanca.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Si utiliza Contact Form 7, Jetpack u otro complemento que utilice la API REST, debe incluir en la lista blanca sus espacios de nombres de la API REST como se describe a continuación.

Permitir el acceso a un espacio de nombres de API REST específico

Un espacio de nombres de API REST es parte de una URL de solicitud que permite a WordPress reconocer qué código de programa procesa una determinada solicitud de API REST. Para obtener el espacio de nombres, tome una cadena entre /wp-json/ y la siguiente barra en la URL REST. Cada complemento que utiliza REST API utiliza su propio espacio de nombres único. La siguiente tabla muestra espacios de nombres para algunos complementos.

Enchufar Espacio de nombres
Formulario de contacto 7 contact-form-7
Formas de caldera cf-api
Yoast SEO yoast
mochila propulsora jetpack

Especifique excepciones de espacio de nombres para la API REST si es necesario, como se muestra en la captura de pantalla.

Permita que sus usuarios utilicen la API REST

Habilite Permitir API REST para usuarios que hayan iniciado sesión si desea permitir el uso de API REST para cualquier usuario de WordPress autorizado (que haya iniciado sesión) sin limitación.

Restringir el acceso a la API REST de WordPress por direcciones IP

Para permitir el acceso a la API REST desde una dirección IP específica o una red IP, agréguelos a la Lista blanca de acceso a IP .

Para bloquear completamente el acceso a la API REST desde una dirección IP específica o una red IP, agréguelos a la Lista negra de acceso a IP .

Leer más: Uso de listas de acceso de IP para proteger WordPress

Cómo detener la enumeración de usuarios de la API REST

Para bloquear el acceso a los datos de los usuarios y detener la enumeración de usuarios a través de la API REST, debe habilitar la configuración Bloquear el acceso a los datos de los usuarios a través de la API REST en la pestaña Reforzamiento. Esta característica de seguridad está diseñada para detectar y evitar que los piratas informáticos escaneen su sitio en busca de inicios de sesión de usuarios y datos confidenciales de los usuarios.

Cuando está habilitado, Cerber bloquea todas las solicitudes a la API REST y devuelve el error HTTP 403. Puede monitorear dichos eventos en la pestaña Actividad. Se registran como "Solicitud de API REST denegada".

El acceso a los datos de los usuarios a través de la API REST de WordPress siempre se concede en dos casos:

  1. Para cuentas de administrador, lo que significa que si está habilitado "Detener enumeración de usuarios" a través de la API REST, todos los usuarios con el rol de administrador siempre tendrán acceso a los datos de los usuarios.
  2. Para todas las direcciones IP en la Lista blanca de acceso a IP

¿Qué es la API REST?

En pocas palabras, es una tecnología que permite que dos fragmentos de código diferentes (aplicaciones) se comuniquen entre sí e intercambien datos de forma estandarizada. El uso de REST API permite a los desarrolladores crear, leer y actualizar contenido de WordPress desde aplicaciones externas que se ejecutan en una computadora remota o en un sitio web. La API REST de WP está habilitada de forma predeterminada a partir de la versión 4.7.0 de WordPress.

Leer más: Por qué es importante restringir el acceso a la API REST de WP

Documentación para desarrolladores: https://developer.wordpress.org/rest-api/

¿Sabe que puede administrar la configuración de la API REST en cualquier número de sitios web de forma remota? Habilite un modo de sitio web principal en el sitio web principal de Cerber.Hub y un modo de sitio web administrado en sus otros sitios web para administrar todas las instancias de WP Cerber desde un solo panel.

Próximos pasos que fortalecerán su seguridad de WordPress

¿Qué es Cerber Security, de todos modos? Es una solución de seguridad completa para WordPress que evoluciona a partir de un complemento de límite de intentos de inicio de sesión simple pero efectivo.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments