WordPress security explained
WordPress security explained

Pourquoi il est important de restreindre l'accès à l'API WP REST

Un bug critique dans WordPress permet aux pirates de modifier facilement n’importe quelle publication sur votre site Web.


English version: Why it’s important to restrict access to the WP REST API


Avez-vous un site Web propulsé par WordPress ? Toutes nos félicitations! Vous offrez un excellent outil aux pirates. Cela s'appelle WordPress REST API et il est activé par défaut. L'API REST est une technologie qui permet d'effectuer à distance presque toutes les actions ou tâches administratives sur un site Web. L'API WP REST est activée par défaut à partir de la version 4.7.0 de WordPress.

Prenez le contrôle de l'API REST : Comment restreindre l'accès à l'API REST de WordPress

L’API REST de WordPress n’est pas une technologie tout à fait mature de nos jours et son code contient de nombreux bugs imprévus. C'est pourquoi vous devez restreindre l'accès à l'API REST avec un plugin de sécurité comme WP Cerber. S'il vous plaît, prenez ça au sérieux, les gars, parce que j'ai de mauvaises nouvelles pour vous. Récemment, juste après la sortie d'une nouvelle version de WordPress 4.7, un bug critique a été découvert. Ce bug permet aux visiteurs non autorisés de modifier n'importe quelle publication sur votre site Web. Le bug a été trouvé par Ryan Dewhurst et a été corrigé par l'équipe WordPress dans WordPress 4.7.2.

La version précédente de WordPress 4.7.1 a été annoncée comme version de sécurité et de maintenance et contient des correctifs pour huit bogues . Malheureusement, le bug de l'API REST n'avait pas encore été corrigé. Cela laisse sans protection des millions de sites Web dans le monde. C'est difficile à croire, mais la mise à jour de WordPress sur les hébergements mutualisés peut prendre jusqu'à plusieurs semaines. Combien de sites Web ont été piratés et infectés ?

Entre-temps, depuis que l'API REST a été activée silencieusement pour chaque site Web, 20 (vingt) bugs ont été découverts et corrigés. Cela représente pas mal de bugs pour une technologie qui permet à n'importe qui d'effectuer des tâches administratives sur un site Web en arrière-plan.

Le plugin WP Cerber Security vous permet de restreindre ou de bloquer complètement l'accès à l'API REST. Quel que soit le nombre de bugs de l'API REST.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments