Perché è importante limitare l'accesso all'API REST WP
Un bug critico in WordPress consente agli hacker di modificare facilmente qualsiasi post sul tuo sito web.
English version: Why it’s important to restrict access to the WP REST API
Hai un sito web basato su WordPress? Congratulazioni! Offri un ottimo strumento per gli hacker. Si chiama API REST di WordPress ed è abilitata per impostazione predefinita. L'API REST è una tecnologia che consente di eseguire quasi tutte le azioni o attività amministrative su un sito Web da remoto. L'API REST WP è abilitata per impostazione predefinita a partire dalla versione 4.7.0 di WordPress.
Assumi il controllo dell'API REST: come limitare l'accesso all'API REST di WordPress
Al giorno d'oggi l'API REST di WordPress non è una tecnologia abbastanza matura e il suo codice contiene molti bug imprevisti. Ecco perché devi limitare l'accesso all'API REST con un plugin di sicurezza come WP Cerber. Per favore, prendetela sul serio, ragazzi, perché ho delle brutte notizie per voi. Recentemente, subito dopo il rilascio della nuova versione di WordPress 4.7, è stato riscontrato un bug critico. Questo bug consente ai visitatori non autorizzati di modificare qualsiasi post sul tuo sito web. Il bug è stato trovato da Ryan Dewhurst ed è stato corretto dal team di WordPress in WordPress 4.7.2.
La versione precedente WordPress 4.7.1 è stata annunciata come Security and Maintenance Release e contiene correzioni per otto bug . Sfortunatamente, il bug dell'API REST non era stato ancora risolto. Ciò lascia milioni di siti Web non protetti in tutto il mondo. È difficile da credere, ma l'aggiornamento di WordPress su hosting condiviso potrebbe richiedere diverse settimane. Quanti siti web sono stati violati e infettati?
Nel frattempo, da quando l'API REST è stata abilitata silenziosamente per ciascun sito web, sono stati scoperti e risolti 20 (venti) bug. Ci sono molti bug per la tecnologia che consente a chiunque di eseguire attività amministrative su un sito Web in modalità background.
Il plug-in WP Cerber Security consente di limitare o bloccare completamente l'accesso all'API REST. Non importa quanti bug abbia l'API REST.
Lauren ( )
Does mail chimp have a rest api namespace that I should include?
Lauren ( )
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Gregory ( )
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
Rhys ( )
How do I establish what my enabled plugins name spaces are
Gregory ( )
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback