Restringir el acceso a la API REST de WordPress
Es hora de tomar el control de la API REST de WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security te permite restringir o bloquear por completo el acceso a la API REST de WordPress, que está habilitada de forma predeterminada. Para habilitar la protección, ve a la pestaña de protección y habilita la opción Bloquear el acceso a la API REST de WordPress, excepto cualquiera de los siguientes . Esto bloquea el acceso a la API REST a menos que otorgues acceso a ella en los campos de configuración que aparecen a continuación o agregues una IP a la Lista de acceso de IP seguras.
Restrict access to WordPress REST API
Si usa Contact Form 7, Jetpack u otro complemento que haga uso de la API REST, deberá incluir en la lista blanca sus espacios de nombres de API REST como se describe a continuación.
Permitir el acceso a un espacio de nombres de API REST específico
Un espacio de nombres de API REST es una parte de una URL de solicitud que permite a WordPress reconocer qué código de programa procesa una determinada solicitud de API REST. Para obtener el espacio de nombres, tome una cadena entre /wp-json/ y la siguiente barra en la URL REST. Cada complemento que utiliza API REST utiliza su propio espacio de nombres único. La siguiente tabla muestra los espacios de nombres de algunos complementos.
| Complemento | Espacio de nombres |
| Formulario de contacto 7 | contact-form-7 |
| Formas de caldera | cf-api |
| Yoast SEO | yoast |
| Mochila propulsora | jetpack |
Especifique excepciones de espacio de nombres para la API REST si es necesario, como se muestra en la captura de pantalla
Permita que sus usuarios utilicen la API REST
Habilite Permitir API REST para usuarios registrados si desea permitir el uso de API REST para cualquier usuario autorizado (registrado) de WordPress sin limitaciones.
Restringir el acceso a la API REST de WordPress por direcciones IP
Para permitir el acceso a la API REST desde una dirección IP específica o una red IP, agréguelas a la Lista de acceso de IP blanca .
Para bloquear completamente el acceso a la API REST desde una dirección IP específica o una red IP, agréguelas a la Lista de acceso de IP negra .
Leer más: Cómo usar listas de acceso IP para proteger WordPress
Cómo detener la enumeración de usuarios de la API REST
Para bloquear el acceso a los datos de los usuarios y detener la enumeración de usuarios a través de la API REST, debe habilitar la opción Bloquear el acceso a los datos de los usuarios a través de la API REST en la pestaña Protección. Esta función de seguridad está diseñada para detectar y evitar que los piratas informáticos escaneen su sitio en busca de inicios de sesión de usuarios y datos confidenciales de los usuarios.
Cuando está habilitado, Cerber bloquea todas las solicitudes a la API REST y devuelve un error HTTP 403. Puede monitorear dichos eventos en la pestaña Actividad. Se registran como "Solicitud a la API REST denegada".
El acceso a los datos de los usuarios a través de la API REST de WordPress siempre se concede en dos casos:
- Para las cuentas de administrador, es decir, si está habilitada la opción “Detener enumeración de usuarios” a través de la API REST, todos los usuarios con el rol de administrador siempre tendrán acceso a los datos de los usuarios.
- Para todas las direcciones IP en la Lista de acceso de IP blanca
¿Qué es la API REST?
En pocas palabras, es una tecnología que permite que dos fragmentos de código diferentes (aplicaciones) se comuniquen entre sí e intercambien datos de forma estandarizada. El uso de la API REST permite a los desarrolladores crear, leer y actualizar contenido de WordPress desde aplicaciones externas que se ejecutan en una computadora remota o un sitio web. La API REST de WP está habilitada de forma predeterminada a partir de la versión 4.7.0 de WordPress.
Leer más: Por qué es importante restringir el acceso a la API REST de WP
Documentación para desarrolladores: https://developer.wordpress.org/rest-api/
¿Sabías que puedes administrar la configuración de la API REST en cualquier cantidad de sitios web de forma remota? Habilita un modo de sitio web principal en el sitio web principal de Cerber.Hub y un modo de sitio web administrado en tus otros sitios web para administrar todas las instancias de WP Cerber desde un panel.
Próximos pasos que fortalecerán la seguridad de WordPress
- Cómo bloquear registros de usuarios spam
- Cómo bloquear envíos de formularios de spam
- Cómo bloquear un usuario de WordPress
- Cómo bloquear el acceso desde una dirección IP específica
- Cómo deshabilitar el uso de un nombre de usuario específico
¿Qué es Cerber Security? Es una solución de seguridad completa para WordPress que surgió de un complemento simple pero efectivo para limitar los intentos de inicio de sesión .
¿Por qué necesitas utilizar una URL de inicio de sesión personalizada para tu WordPress?
Cómo detener bots y robots con una lista de inicios de sesión prohibidos
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.