Limiter l'accès à l'API REST WordPress
Il est temps de prendre le contrôle de l'API REST WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security vous permet de restreindre ou de bloquer complètement l’accès à l’API WordPress REST, activée par défaut. Pour activer la protection, accédez à l'onglet Renforcement et activez le blocage de l'accès à l'API REST de WordPress, à l'exception des cas suivants .
Si vous utilisez Contact Form 7, Jetpack ou un autre plug-in utilisant l'API REST, vous devez ajouter à la liste blanche ses espaces de noms d'API REST, comme décrit ci-dessous.
Autoriser l'accès à un espace de noms particulier de l'API REST
Quel est l'espace de noms? L'espace de nom est une partie d'une URL de requête qui permet à WordPress de reconnaître le plug-in ou une partie de code devant servir une certaine requête d'API REST. Pour obtenir l'espace de noms, prenez une chaîne entre / wp-json / et la barre oblique suivante dans l'URL REST. Chaque plug-in qui utilise l'API REST utilise son propre espace de noms unique. Le tableau ci-dessous montre les espaces de noms de certains plugins.
Brancher | Espace de noms |
Formulaire de contact 7 | contact-form-7 |
Formes de Caldera | cf-api |
Yoast SEO | yoast |
Jetpack | jetpack |
Spécifiez des exceptions d'espace de nom pour l'API REST si nécessaire, comme indiqué sur la capture d'écran.
Autorisez vos utilisateurs à utiliser l'API REST
Activez Autoriser l’API REST pour les utilisateurs connectés si vous souhaitez autoriser l’utilisation de l’API REST pour n’importe quel utilisateur WordPress autorisé (connecté), sans limitation.
Restreindre l'accès à l'API WordPress REST par adresse IP ou réseau IP
Pour autoriser l'accès à l'API REST pour une adresse IP spécifique ou un réseau IP, ajoutez-les à la liste d'accès IP blanche.
Pour bloquer l'accès à l'API REST pour une adresse IP spécifique ou un réseau IP, ajoutez-les à la liste d'accès IP noire.
Lire la suite: Utiliser des listes d'accès IP pour protéger WordPress
Protection contre l'énumération des utilisateurs de l'API REST
Pour arrêter l'énumération des utilisateurs et bloquer l'accès aux informations des utilisateurs via l'API REST, il vous suffit d'activer le paramètre Arrêter l'énumération des utilisateurs dans l'onglet Renforcement de WordPress. Cette fonctionnalité de sécurité est conçue pour détecter et empêcher les pirates informatiques d'analyser votre site à la recherche de noms d'utilisateur et de détails d'utilisateur. Lorsqu'il est activé, Cerber Security bloque à la fois l'énumération des utilisateurs de l'API REST et les requêtes d'énumération des utilisateurs traditionnels pour les pages d'archive d'auteur avec une URL telle que /? Author = n. Ainsi, personne n’aura accès aux informations de l’utilisateur via l’API REST, à moins que vous ne lui en permettiez l’accès, comme décrit ci-dessus.
Qu'est-ce que l'API REST?
En un mot, il s'agit d'une technologie qui permet à deux morceaux de code (applications) différents de se parler et d'échanger des données de manière normalisée. L'utilisation de l'API REST permet aux développeurs de créer, lire et mettre à jour le contenu WordPress à partir d'applications externes s'exécutant sur un ordinateur différent ou sur un site Web. L'API REST WP est activé par défaut à partir de WordPress version 4.7.0.
Lire la suite: Pourquoi il est important de limiter l'accès à l'API WP REST
Documentation pour développeurs: https://developer.wordpress.org/rest-api/
Prochaines étapes pour renforcer votre sécurité WordPress
- Comment bloquer les inscriptions d'utilisateurs de spam
- Comment bloquer les envois de spam
- Comment bloquer un utilisateur WordPress
- Comment bloquer l'accès à partir d'une adresse IP spécifique
- Comment désactiver en utilisant un nom d'utilisateur spécifique
Quelle est la sécurité de Cerber, de toute façon? C'est une solution de sécurité complète pour WordPress qui évolue à partir d'un plugin de tentatives de connexion limité, simple mais efficace.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.