Limitare l'accesso a WordPress API REST
È ora di assumere il controllo dell'API REST di WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security ti consente di limitare o bloccare completamente l'accesso all'API REST di WordPress abilitata di default. Per abilitare la protezione, vai alla scheda Protezione avanzata e attiva l'accesso Blocca all'API REST di WordPress ad eccezione di quanto segue .
Se si utilizza Contact Form 7, Jetpack o un altro plug-in che utilizza l'API REST, è necessario autorizzare gli spazi dei nomi API REST come descritto di seguito.
Consentire l'accesso a uno specifico spazio dei nomi dell'API REST
Cos'è lo spazio dei nomi? Lo spazio dei nomi fa parte di un URL di richiesta che consente a WordPress di riconoscere quale plug-in o parte di codice deve servire a una determinata richiesta API REST. Per ottenere lo spazio dei nomi, prendi una stringa tra / wp-json / e la barra successiva nell'URL REST. Ogni plug-in che utilizza l'API REST utilizza il proprio spazio dei nomi univoco. La tabella seguente mostra gli spazi dei nomi per alcuni plugin.
Collegare | Spazio dei nomi |
Modulo di contatto 7 | contact-form-7 |
Caldera Forms | cf-api |
Yoast SEO | yoast |
jetpack | jetpack |
Specificare le eccezioni dello spazio dei nomi per l'API REST, se necessario, come mostrato nello screenshot
Consenti agli utenti di utilizzare l'API REST
Abilita Consenti API REST per gli utenti che hanno effettuato l'accesso se si desidera consentire l'utilizzo dell'API REST per qualsiasi utente WordPress autorizzato (connesso) senza limitazioni.
Limita l'accesso all'API REST di WordPress tramite l'indirizzo IP o la rete IP
Per consentire l'accesso all'API REST per un indirizzo IP specifico o una rete IP, aggiungili all'elenco di accesso IP bianco.
Per bloccare l'accesso all'API REST per un indirizzo IP specifico o una rete IP, aggiungili all'elenco di accesso IP nero.
Ulteriori informazioni: utilizzo degli elenchi di accesso IP per proteggere WordPress
Protezione contro l'enumerazione degli utenti API REST
Per interrompere l'enumerazione degli utenti e bloccare l'accesso ai dettagli degli utenti tramite l'API REST, è sufficiente abilitare l'opzione Arresta enumerazione utente nella scheda WordPress di Hardening. Questa funzione di sicurezza è progettata per rilevare e impedire agli hacker di eseguire la scansione del tuo sito per i nomi utente e i dettagli dell'utente. Quando è abilitato, Cerber Security blocca entrambi, l'enumerazione degli utenti dell'API REST e le richieste di enumerazione degli utenti tradizionali per le pagine di archivio degli autori con URL come /? Author = n. Quindi nessuno potrà accedere ai dettagli dell'utente tramite API REST a meno che non ne consentiate l'accesso come descritto sopra.
Che cos'è l'API REST, comunque?
In poche parole è una tecnologia che consente a due diversi pezzi di codice (applicazioni) di comunicare tra loro e scambiare dati in modo standardizzato. L'utilizzo dell'API REST consente agli sviluppatori di creare, leggere e aggiornare il contenuto di WordPress da applicazioni esterne eseguite su un altro computer o un sito web. L'API WP REST è abilitata per impostazione predefinita all'avvio di WordPress versione 4.7.0.
Ulteriori informazioni: Perché è importante limitare l'accesso all'API REST di WP
Documentazione degli sviluppatori: https://developer.wordpress.org/rest-api/
Prossimi passaggi per rafforzare la sicurezza di WordPress
- Come bloccare le registrazioni degli utenti spam
- Come bloccare gli invii di moduli spam
- Come bloccare un utente di WordPress
- Come bloccare l'accesso da un indirizzo IP specifico
- Come disabilitare l'utilizzo di un nome utente specifico
Qual è la Cerber Security, comunque? È una soluzione di sicurezza completa per WordPress che si evolve da un semplice ma efficace plug-in di tentativi di accesso .
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.