Restreindre l'accès à l'API WordPress REST
Il est temps de prendre le contrôle de l'API WordPress REST
English version: Restrict access to the WordPress REST API
WP Cerber Security vous permet de restreindre ou de bloquer complètement l'accès à l'API WordPress REST qui est activée par défaut. Pour activer la protection, accédez à l'onglet Renforcement et activez Bloquer l'accès à l'API REST WordPress, à l'exception de l'un des éléments suivants . Cela bloque l'accès à l'API REST, sauf si vous lui accordez l'accès dans les champs de paramètres ci-dessous ou si vous ajoutez une adresse IP à la liste d'accès IP blanche.
Restrict access to WordPress REST API
Si vous utilisez Contact Form 7, Jetpack ou un autre plug-in utilisant l'API REST, vous devez ajouter à la liste blanche ses espaces de noms d'API REST, comme décrit ci-dessous.
Autoriser l'accès à un espace de noms d'API REST spécifique
Un espace de noms d'API REST fait partie d'une URL de demande qui permet à WordPress de reconnaître quel code de programme traite une certaine demande d'API REST. Pour obtenir l'espace de noms, prenez une chaîne entre /wp-json/ et la barre oblique suivante dans l'URL REST. Chaque plugin qui utilise l'API REST utilise son propre espace de noms unique. Le tableau ci-dessous montre les espaces de noms pour certains plugins.
| Brancher | Espace de noms |
| Formulaire de contact 7 | contact-form-7 |
| Formulaires Caldeira | cf-api |
| Yoast SEO | yoast |
| Jet pack | jetpack |
Spécifiez les exceptions d'espace de noms pour l'API REST si nécessaire, comme indiqué sur la capture d'écran
Autorisez vos utilisateurs à utiliser l'API REST
Activez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé (connecté) sans limitation.
Restreindre l'accès à l'API WordPress REST par adresses IP
Pour autoriser l'accès à l'API REST à partir d'une adresse IP spécifique ou d'un réseau IP, ajoutez-les à la liste d'accès IP blanche .
Pour bloquer complètement l'accès à l'API REST à partir d'une adresse IP spécifique ou d'un réseau IP, ajoutez-les à la liste d'accès IP noire .
Lire la suite : Utilisation des listes d'accès IP pour protéger WordPress
Comment arrêter l'énumération des utilisateurs de l'API REST
Pour bloquer l'accès aux données des utilisateurs et arrêter l'énumération des utilisateurs via l'API REST, vous devez activer le paramètre Bloquer l'accès aux données des utilisateurs via l'API REST dans l'onglet Renforcement. Cette fonction de sécurité est conçue pour détecter et empêcher les pirates d'analyser votre site à la recherche de connexions d'utilisateurs et de données sensibles d'utilisateurs.
Lorsqu'il est activé, Cerber bloque toutes les requêtes vers l'API REST et renvoie l'erreur HTTP 403. Vous pouvez surveiller ces événements dans l'onglet Activité. Ils sont enregistrés en tant que "Requête à l'API REST refusée".
L'accès aux données des utilisateurs via l'API WordPress REST est toujours accordé dans deux cas :
- Pour les comptes administrateur, c'est-à-dire si "Arrêter l'énumération des utilisateurs" via l'API REST est activé, tous les utilisateurs ayant le rôle d'administrateur ont toujours accès aux données des utilisateurs
- Pour toutes les adresses IP de la liste blanche d'accès IP
Qu'est-ce que l'API REST ?
En un mot, c'est une technologie qui permet à deux morceaux de code (applications) différents de se parler et d'échanger des données de manière standardisée. L'utilisation de l'API REST permet aux développeurs de créer, lire et mettre à jour le contenu WordPress à partir d'applications externes exécutées sur un ordinateur distant ou un site Web. L'API WP REST est activée par défaut à partir de la version 4.7.0 de WordPress.
Lire la suite : Pourquoi il est important de restreindre l'accès à l'API WP REST
Documentation développeurs : https://developer.wordpress.org/rest-api/
Savez-vous que vous pouvez gérer à distance les paramètres de l'API REST sur n'importe quel nombre de sites Web ? Activez un mode de site Web principal sur le site Web principal de Cerber.Hub et un mode de site Web géré sur vos autres sites Web pour gérer toutes les instances de WP Cerber à partir d'un tableau de bord.
Prochaines étapes qui renforceront votre sécurité WordPress
- Comment bloquer les inscriptions d'utilisateurs indésirables
- Comment bloquer les soumissions de formulaires de spam
- Comment bloquer un utilisateur WordPress
- Comment bloquer l'accès à partir d'une adresse IP spécifique
- Comment désactiver l'utilisation d'un nom d'utilisateur spécifique
Qu'est-ce que la sécurité Cerber, de toute façon ? Il s'agit d'une solution de sécurité complète pour WordPress qui a évolué à partir d'un plugin simple mais efficace pour limiter les tentatives de connexion .
Pourquoi vous devez utiliser une URL de connexion personnalisée pour votre WordPress
Comment attraper les bots et les robots avec une liste de connexions interdites
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.