Por qué es importante restringir el acceso a la API REST de WP
Un error crítico en WordPress permite a los piratas informáticos editar cualquier publicación de su sitio web fácilmente.
English version: Why it’s important to restrict access to the WP REST API
¿Tienes un sitio web con WordPress? ¡Enhorabuena! Ofreces una herramienta fantástica para hackers. Se llama API REST de WordPress y está habilitada por defecto. La API REST es una tecnología que permite realizar prácticamente cualquier acción o tarea administrativa en un sitio web de forma remota. La API REST de WP está habilitada por defecto a partir de la versión 4.7.0 de WordPress.
Tome el control de la API REST: Cómo restringir el acceso a la API REST de WordPress
La API REST de WordPress no es una tecnología muy desarrollada hoy en día y su código contiene muchos errores imprevistos. Por eso, es necesario restringir el acceso a la API REST con un plugin de seguridad como WP Cerber. Por favor, tómenlo en serio, chicos, porque tengo malas noticias. Recientemente, justo después del lanzamiento de la nueva versión de WordPress 4.7, se encontró un error crítico. Este error permite que visitantes no autorizados editen cualquier entrada de su sitio web. Ryan Dewhurst lo encontró y el equipo de WordPress lo corrigió en WordPress 4.7.2.
La versión anterior de WordPress 4.7.1 se anunció como versión de seguridad y mantenimiento e incluye correcciones para ocho errores . Desafortunadamente, el error de la API REST aún no se ha corregido. Esto deja desprotegidos a millones de sitios web en todo el mundo. Es difícil de creer, pero actualizar WordPress en servidores compartidos puede tardar varias semanas. ¿Cuántos sitios web han sido hackeados e infectados?
Mientras tanto, desde que se habilitó la API REST de forma silenciosa para cada sitio web, se han detectado y corregido 20 (veinte) errores. Se trata de una cantidad considerable de errores para una tecnología que permite a cualquiera realizar tareas administrativas en un sitio web en segundo plano.
El plugin WP Cerber Security te permite restringir o bloquear completamente el acceso a la API REST, independientemente de cuántos errores tenga.
WordPress 5.4.1. Una actualización de seguridad corrige siete vulnerabilidades XSS.
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback