Pourquoi il est important de restreindre l'accès à l'API REST de WordPress
Une faille critique dans WordPress permet aux pirates informatiques de modifier facilement n'importe quel article sur votre site web.
English version: Why it’s important to restrict access to the WP REST API
Vous avez un site web sous WordPress ? Félicitations ! Vous offrez une cible de choix aux pirates informatiques. Il s’agit de l’API REST de WordPress , activée par défaut. L’API REST est une technologie qui permet d’effectuer à distance la quasi-totalité des actions et tâches d’administration d’un site web. L’API REST de WordPress est activée par défaut depuis la version 4.7.0.
Prenez le contrôle de l'API REST : Comment restreindre l'accès à l'API REST de WordPress
L'API REST de WordPress n'est pas encore une technologie mature et son code contient de nombreux bugs imprévus. C'est pourquoi il est essentiel de restreindre l'accès à l'API REST à l'aide d'une extension de sécurité comme WP Cerber. Attention, j'ai une mauvaise nouvelle : peu après la sortie de la version 4.7 de WordPress, une faille critique a été découverte. Cette faille permet aux visiteurs non autorisés de modifier n'importe quel article de votre site web. Découverte par Ryan Dewhurst , elle a été corrigée par l'équipe WordPress dans la version 4.7.2.
La version précédente, WordPress 4.7.1, a été annoncée comme une mise à jour de sécurité et de maintenance et corrige huit bugs . Malheureusement, le bug de l'API REST n'avait pas encore été résolu. Des millions de sites web à travers le monde restent donc vulnérables. Aussi incroyable que cela puisse paraître, la mise à jour de WordPress sur un hébergement mutualisé peut prendre plusieurs semaines. Combien de sites web ont déjà été piratés et infectés ?
Entre-temps, depuis l'activation discrète de l'API REST sur chaque site web, 20 bugs ont été découverts et corrigés. C'est un nombre considérable pour une technologie qui permet à quiconque d'effectuer des tâches d'administration sur un site web en arrière-plan.
Le plugin WP Cerber Security vous permet de restreindre ou de bloquer complètement l'accès à l'API REST, quelles que soient les failles qu'elle comporte.
WordPress 5.4.1. Une mise à jour de sécurité corrige sept vulnérabilités XSS.
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback