Restreindre l'accès à l'API REST de WordPress
Il est temps de prendre le contrôle de l'API REST de WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security vous permet de restreindre ou de bloquer complètement l'accès à l'API REST WordPress qui est activée par défaut. Pour activer la protection, accédez à l'onglet Renforcement et activez Bloquer l'accès à l'API REST WordPress, sauf dans les cas suivants . Cela bloque l'accès à l'API REST à moins que vous n'y accordiez l'accès dans les champs de paramètres ci-dessous ou que vous ajoutiez une adresse IP à la liste d'accès IP blanche.
Restrict access to WordPress REST API
Si vous utilisez Contact Form 7, Jetpack ou un autre plugin utilisant l'API REST, vous devez mettre sur liste blanche ses espaces de noms d'API REST comme décrit ci-dessous.
Autoriser l'accès à un espace de noms d'API REST spécifique
Un espace de noms d'API REST fait partie d'une URL de requête qui permet à WordPress de reconnaître quel code de programme traite une certaine requête d'API REST. Pour obtenir l'espace de noms, prenez une chaîne entre /wp-json/ et la barre oblique suivante dans l'URL REST. Chaque plugin qui utilise l'API REST utilise son propre espace de noms unique. Le tableau ci-dessous montre les espaces de noms pour certains plugins.
| Brancher | Espace de noms |
| Formulaire de contact 7 | contact-form-7 |
| Formes de caldeira | cf-api |
| Yoast SEO | yoast |
| Jetpack | jetpack |
Spécifiez les exceptions d'espace de noms pour l'API REST si nécessaire, comme indiqué sur la capture d'écran.
Autorisez vos utilisateurs à utiliser l'API REST
Activez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé (connecté) sans limitation.
Restreindre l'accès à l'API REST WordPress par adresses IP
Pour autoriser l'accès à l'API REST à partir d'une adresse IP spécifique ou d'un réseau IP, ajoutez-les à la liste d'accès IP blanche .
Pour bloquer complètement l'accès à l'API REST à partir d'une adresse IP spécifique ou d'un réseau IP, ajoutez-les à la liste d'accès Black IP .
Lire la suite : Utiliser les listes d'accès IP pour protéger WordPress
Comment arrêter l'énumération des utilisateurs de l'API REST
Pour bloquer l'accès aux données des utilisateurs et arrêter l'énumération des utilisateurs via l'API REST, vous devez activer le paramètre Bloquer l'accès aux données des utilisateurs via l'API REST dans l'onglet Renforcement. Cette fonctionnalité de sécurité est conçue pour détecter et empêcher les pirates informatiques d'analyser votre site à la recherche de connexions utilisateur et de données sensibles des utilisateurs.
Lorsqu'il est activé, Cerber bloque toutes les requêtes vers l'API REST et renvoie l'erreur HTTP 403. Vous pouvez surveiller ces événements dans l'onglet Activité. Ils sont enregistrés comme « Demande à l'API REST refusée ».
L'accès aux données des utilisateurs via l'API REST de WordPress est toujours accordé dans deux cas :
- Pour les comptes d'administrateur, c'est-à-dire si « Arrêter l'énumération des utilisateurs » via l'API REST est activé, tous les utilisateurs ayant le rôle d'administrateur ont toujours accès aux données des utilisateurs.
- Pour toutes les adresses IP de la liste d'accès IP blanche
Qu'est-ce que l'API REST ?
En un mot, il s’agit d’une technologie qui permet à deux morceaux de code (applications) différents de communiquer entre eux et d’échanger des données de manière standardisée. L'utilisation de l'API REST permet aux développeurs de créer, lire et mettre à jour du contenu WordPress à partir d'applications externes exécutées sur un ordinateur distant ou un site Web. L'API WP REST est activée par défaut à partir de la version 4.7.0 de WordPress.
Lire la suite : Pourquoi il est important de restreindre l'accès à l'API WP REST
Documentation des développeurs : https://developer.wordpress.org/rest-api/
Savez-vous que vous pouvez gérer à distance les paramètres de l'API REST sur un nombre illimité de sites Web ? Activez un mode site Web principal sur le site Web principal Cerber.Hub et un mode site Web géré sur vos autres sites Web pour gérer toutes les instances WP Cerber à partir d'un seul tableau de bord.
Prochaines étapes qui renforceront votre sécurité WordPress
- Comment bloquer les inscriptions d'utilisateurs spam
- Comment bloquer les soumissions de formulaires de spam
- Comment bloquer un utilisateur WordPress
- Comment bloquer l'accès à partir d'une adresse IP spécifique
- Comment désactiver l'utilisation d'un nom d'utilisateur spécifique
De toute façon, c'est quoi Cerber Security ? Il s'agit d'une solution de sécurité complète pour WordPress qui est issue d'un plugin simple mais efficace avec limitation des tentatives de connexion .
WP Cerber Security 8.7
Gérer les mots de passe des applications WordPress sans tracas
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.