WordPress Security How To
WordPress Security How To

Limita l'accesso all'API REST di WordPress

It's time to take control of WordPress REST API


English version: Restrict access to the WordPress REST API


WP Cerber Security ti consente di limitare o bloccare completamente l'accesso all'API REST di WordPress che è abilitata per impostazione predefinita. Per abilitare la protezione, vai alla scheda Rafforzamento e abilita Blocca l'accesso all'API REST di WordPress ad eccezione di quanto segue . Ciò blocca l'accesso all'API REST a meno che tu non conceda l'accesso ad essa nei campi delle impostazioni seguenti o aggiunga un IP all'elenco di accesso IP bianchi.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Se utilizzi Contact Form 7, Jetpack o un altro plug-in che utilizza l'API REST, devi inserire nella whitelist i relativi spazi dei nomi API REST come descritto di seguito.

Consentire l'accesso a uno spazio dei nomi API REST specifico

Uno spazio dei nomi API REST è una parte di un URL di richiesta che consente a WordPress di riconoscere quale codice di programma elabora una determinata richiesta API REST. Per ottenere lo spazio dei nomi, prendi una stringa tra /wp-json/ e la barra successiva nell'URL REST. Ogni plugin che utilizza l'API REST utilizza il proprio spazio dei nomi univoco. La tabella seguente mostra gli spazi dei nomi per alcuni plugin.

Collegare Spazio dei nomi
Modulo di contatto 7 contact-form-7
Forme della Caldera cf-api
Ottimo SEO yoast
Jetpack jetpack

Specifica le eccezioni dello spazio dei nomi per l'API REST se necessario, come mostrato nello screenshot

Consenti ai tuoi utenti di utilizzare l'API REST

Abilita Consenti API REST per gli utenti che hanno effettuato l'accesso se desideri consentire l'utilizzo dell'API REST per qualsiasi utente WordPress autorizzato (che ha effettuato l'accesso) senza limitazioni.

Limita l'accesso all'API REST di WordPress in base agli indirizzi IP

Per consentire l'accesso alle API REST da uno specifico indirizzo IP o da una rete IP, aggiungili alla White IP Access List .

Per bloccare completamente l'accesso all'API REST da uno specifico indirizzo IP o da una rete IP, aggiungili alla Black IP Access List .

Per saperne di più: Utilizzo degli elenchi di accesso IP per proteggere WordPress

Come interrompere l'enumerazione degli utenti dell'API REST

Per bloccare l'accesso ai dati degli utenti e interrompere l'enumerazione degli utenti tramite API REST è necessario abilitare l'impostazione Blocca l'accesso ai dati degli utenti tramite API REST nella scheda Protezione avanzata. Questa funzionalità di sicurezza è progettata per rilevare e impedire agli hacker di scansionare il tuo sito alla ricerca di accessi utente e dati sensibili degli utenti.

Quando è abilitato, Cerber blocca tutte le richieste all'API REST e restituisce l'errore HTTP 403. Puoi monitorare tali eventi nella scheda Attività. Vengono registrati come "Richiesta di API REST negata".

L'accesso ai dati degli utenti tramite API REST di WordPress è sempre concesso in due casi:

  1. Per gli account amministratore, ovvero se è abilitato "Interrompi enumerazione utenti" tramite API REST, tutti gli utenti con ruolo di amministratore avranno sempre accesso ai dati degli utenti
  2. Per tutti gli indirizzi IP nella White IP Access List

Cos'è l'API REST?

In poche parole, è una tecnologia che consente a due diversi pezzi di codice (applicazioni) di dialogare tra loro e scambiarsi dati in modo standardizzato. L'utilizzo dell'API REST consente agli sviluppatori di creare, leggere e aggiornare contenuti WordPress da applicazioni esterne in esecuzione su un computer remoto o un sito Web. L'API REST WP è abilitata per impostazione predefinita a partire dalla versione 4.7.0 di WordPress.

Ulteriori informazioni: Perché è importante limitare l'accesso all'API REST WP

Documentazione per gli sviluppatori: https://developer.wordpress.org/rest-api/

Sai che puoi gestire le impostazioni dell'API REST su un numero qualsiasi di siti Web da remoto? Abilita una modalità sito Web principale sul sito Web principale Cerber.Hub e una modalità sito Web gestita sugli altri siti Web per gestire tutte le istanze di WP Cerber da un'unica dashboard.

I prossimi passi che rafforzeranno la sicurezza di WordPress

Comunque, cos'è la Cerber Security? È una soluzione di sicurezza completa per WordPress che si è evoluta da un semplice ma efficace plugin per limitare i tentativi di accesso .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments