WordPress security explained
WordPress security explained
Posted By Gregory

Perché è importante limitare l'accesso alla WP REST API

Un bug critico in WordPress consente agli hacker di modificare facilmente qualsiasi post sul tuo sito web.

English version: Why it’s important to restrict access to the WP REST API


Hai un sito web basato su WordPress? Congratulazioni! Offri un ottimo strumento per gli hacker. Si chiama WordPress REST API ed è abilitato di default. La REST API è una tecnologia che consente di eseguire praticamente qualsiasi azione o attività amministrativa su un sito web da remoto. La REST API di WP è abilitata di default a partire dalla versione 4.7.0 di WordPress.

Prendi il controllo della REST API: come limitare l'accesso alla REST API di WordPress

La REST API di WordPress non è ancora una tecnologia matura e il suo codice contiene molti bug imprevisti. Ecco perché è necessario limitare l'accesso alla REST API con un plugin di sicurezza come WP Cerber. Per favore, prendetelo sul serio, ragazzi, perché ho una brutta notizia per voi. Di recente, subito dopo il rilascio della nuova versione di WordPress 4.7, è stato trovato un bug critico. Questo bug consente ai visitatori non autorizzati di modificare qualsiasi post sul vostro sito web. Il bug è stato trovato da Ryan Dewhurst ed è stato risolto dal team di WordPress in WordPress 4.7.2.

La versione precedente di WordPress 4.7.1 è stata annunciata come Security and Maintenance Release e ha corretto otto bug . Sfortunatamente, il bug della REST API non è stato ancora risolto. Questo lascia milioni di siti web non protetti in tutto il mondo. È difficile da credere, ma l'aggiornamento di WordPress su hosting condivisi può richiedere diverse settimane. Quanti siti web sono stati hackerati e infettati?

Nel frattempo, da quando l'API REST è stata abilitata silenziosamente per ogni sito web, sono stati scoperti e corretti 20 (venti) bug. Si tratta di un numero considerevole di bug per una tecnologia che consente a chiunque di eseguire attività amministrative su un sito web in modalità background.

Il plugin WP Cerber Security consente di limitare o bloccare completamente l'accesso all'API REST, indipendentemente dal numero di bug presenti.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments