WordPress Security How To
WordPress Security How To
Posted By Gregory

Limitare l'accesso alla REST API di WordPress

È tempo di prendere il controllo della REST API di WordPress

English version: Restrict access to the WordPress REST API


WP Cerber Security ti consente di limitare o bloccare completamente l'accesso a WordPress REST API, che è abilitato di default. Per abilitare la protezione, vai alla scheda Hardening e abilita Block access to WordPress REST API except any of the following . Questo blocca l'accesso a REST API a meno che tu non ne conceda l'accesso nei campi delle impostazioni qui sotto o non aggiunga un IP alla White IP Access List.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Se utilizzi Contact Form 7, Jetpack o un altro plugin che utilizza la REST API, devi inserire nella whitelist i relativi namespace REST API come descritto di seguito.

Consentire l'accesso a uno specifico namespace API REST

Uno spazio dei nomi REST API è una parte di un URL di richiesta che consente a WordPress di riconoscere quale codice di programma elabora una determinata richiesta REST API. Per ottenere lo spazio dei nomi, prendi una stringa tra /wp-json/ e la barra successiva nell'URL REST. Ogni plugin che utilizza REST API utilizza il proprio spazio dei nomi univoco. La tabella seguente mostra gli spazi dei nomi per alcuni plugin.

Collegare Spazio dei nomi
Modulo di contatto 7 contact-form-7
Forme della caldera cf-api
SEO di Yoast yoast
Zaino a reazione jetpack

Specificare le eccezioni dello spazio dei nomi per l'API REST se necessario, come mostrato nello screenshot

Consenti ai tuoi utenti di utilizzare la REST API

Abilita Consenti API REST per gli utenti registrati se desideri consentire l'utilizzo dell'API REST a qualsiasi utente WordPress autorizzato (registrato) senza limitazioni.

Limitare l'accesso alla REST API di WordPress tramite indirizzi IP

Per consentire l'accesso alla REST API da uno specifico indirizzo IP o da una rete IP, aggiungerli alla White IP Access List .

Per bloccare completamente l'accesso alla REST API da un indirizzo IP specifico o da una rete IP, aggiungerli alla Black IP Access List .

Per saperne di più: Utilizzo degli elenchi di accesso IP per proteggere WordPress

Come interrompere l'enumerazione degli utenti REST API

Per bloccare l'accesso ai dati degli utenti e interrompere l'enumerazione degli utenti tramite REST API, è necessario abilitare l'impostazione Blocca l'accesso ai dati degli utenti tramite REST API nella scheda Hardening. Questa funzionalità di sicurezza è progettata per rilevare e impedire agli hacker di scansionare il tuo sito alla ricerca di accessi utente e dati sensibili degli utenti.

Quando è abilitato, Cerber blocca tutte le richieste alla REST API e restituisce l'errore HTTP 403. Puoi monitorare tali eventi nella scheda Attività. Vengono registrati come "Richiesta alla REST API negata".

L'accesso ai dati degli utenti tramite WordPress REST API è sempre concesso in due casi:

  1. Per gli account amministratore, ovvero se è abilitato "Interrompi enumerazione utente" tramite REST API, tutti gli utenti con il ruolo di amministratore hanno sempre accesso ai dati degli utenti

  2. Per tutti gli indirizzi IP nella White IP Access List

Che cosa è la REST API?

In poche parole, è una tecnologia che consente a due diversi pezzi di codice (applicazioni) di comunicare tra loro e scambiare dati in modo standardizzato. L'utilizzo di REST API consente agli sviluppatori di creare, leggere e aggiornare i contenuti di WordPress da applicazioni esterne in esecuzione su un computer remoto o un sito Web. La WP REST API è abilitata per impostazione predefinita all'avvio della versione 4.7.0 di WordPress.

Per saperne di più: Perché è importante limitare l'accesso alla WP REST API

Documentazione per sviluppatori: https://developer.wordpress.org/rest-api/

Sapevi che puoi gestire le impostazioni REST API su un numero qualsiasi di siti web da remoto? Abilita una modalità sito web principale sul sito web principale Cerber.Hub e una modalità sito web gestito sugli altri siti web per gestire tutte le istanze WP Cerber da un'unica dashboard.

I prossimi passi che rafforzeranno la sicurezza del tuo WordPress

Cos'è Cerber Security, comunque? È una soluzione di sicurezza completa per WordPress che si è evoluta da un semplice ma efficace plugin per limitare i tentativi di accesso .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments