WordPress Security How To
WordPress Security How To

Restreindre l'accès à l'API REST de WordPress

Il est temps de prendre le contrôle de l'API REST de WordPress


English version: Restrict access to the WordPress REST API


WP Cerber Security vous permet de restreindre ou de bloquer complètement l'accès à l'API REST WordPress qui est activée par défaut. Pour activer la protection, accédez à l'onglet Renforcement et activez Bloquer l'accès à l'API REST WordPress, sauf dans les cas suivants . Cela bloque l'accès à l'API REST à moins que vous n'y accordiez l'accès dans les champs de paramètres ci-dessous ou que vous ajoutiez une adresse IP à la liste d'accès IP blanche.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Si vous utilisez Contact Form 7, Jetpack ou un autre plugin utilisant l'API REST, vous devez mettre sur liste blanche ses espaces de noms d'API REST comme décrit ci-dessous.

Autoriser l'accès à un espace de noms d'API REST spécifique

Un espace de noms d'API REST fait partie d'une URL de requête qui permet à WordPress de reconnaître quel code de programme traite une certaine requête d'API REST. Pour obtenir l'espace de noms, prenez une chaîne entre /wp-json/ et la barre oblique suivante dans l'URL REST. Chaque plugin qui utilise l'API REST utilise son propre espace de noms unique. Le tableau ci-dessous montre les espaces de noms pour certains plugins.

Brancher Espace de noms
Formulaire de contact 7 contact-form-7
Formes de caldeira cf-api
Yoast SEO yoast
Jetpack jetpack

Spécifiez les exceptions d'espace de noms pour l'API REST si nécessaire, comme indiqué sur la capture d'écran.

Autorisez vos utilisateurs à utiliser l'API REST

Activez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé (connecté) sans limitation.

Restreindre l'accès à l'API REST WordPress par adresses IP

Pour autoriser l'accès à l'API REST à partir d'une adresse IP spécifique ou d'un réseau IP, ajoutez-les à la liste d'accès IP blanche .

Pour bloquer complètement l'accès à l'API REST à partir d'une adresse IP spécifique ou d'un réseau IP, ajoutez-les à la liste d'accès Black IP .

Lire la suite : Utiliser les listes d'accès IP pour protéger WordPress

Comment arrêter l'énumération des utilisateurs de l'API REST

Pour bloquer l'accès aux données des utilisateurs et arrêter l'énumération des utilisateurs via l'API REST, vous devez activer le paramètre Bloquer l'accès aux données des utilisateurs via l'API REST dans l'onglet Renforcement. Cette fonctionnalité de sécurité est conçue pour détecter et empêcher les pirates informatiques d'analyser votre site à la recherche de connexions utilisateur et de données sensibles des utilisateurs.

Lorsqu'il est activé, Cerber bloque toutes les requêtes vers l'API REST et renvoie l'erreur HTTP 403. Vous pouvez surveiller ces événements dans l'onglet Activité. Ils sont enregistrés comme « Demande à l'API REST refusée ».

L'accès aux données des utilisateurs via l'API REST de WordPress est toujours accordé dans deux cas :

  1. Pour les comptes d'administrateur, c'est-à-dire si « Arrêter l'énumération des utilisateurs » via l'API REST est activé, tous les utilisateurs ayant le rôle d'administrateur ont toujours accès aux données des utilisateurs.
  2. Pour toutes les adresses IP de la liste d'accès IP blanche

Qu'est-ce que l'API REST ?

En un mot, il s’agit d’une technologie qui permet à deux morceaux de code (applications) différents de communiquer entre eux et d’échanger des données de manière standardisée. L'utilisation de l'API REST permet aux développeurs de créer, lire et mettre à jour du contenu WordPress à partir d'applications externes exécutées sur un ordinateur distant ou un site Web. L'API WP REST est activée par défaut à partir de la version 4.7.0 de WordPress.

Lire la suite : Pourquoi il est important de restreindre l'accès à l'API WP REST

Documentation des développeurs : https://developer.wordpress.org/rest-api/

Savez-vous que vous pouvez gérer à distance les paramètres de l'API REST sur un nombre illimité de sites Web ? Activez un mode site Web principal sur le site Web principal Cerber.Hub et un mode site Web géré sur vos autres sites Web pour gérer toutes les instances WP Cerber à partir d'un seul tableau de bord.

Prochaines étapes qui renforceront votre sécurité WordPress

De toute façon, c'est quoi Cerber Security ? Il s'agit d'une solution de sécurité complète pour WordPress qui est issue d'un plugin simple mais efficace avec limitation des tentatives de connexion .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments