WP REST APIへのアクセスを制限することが重要な理由

English version: Why it’s important to restrict access to the WP REST API

WordPressで構築したウェブサイトをお持ちですか？おめでとうございます！ハッカーにとって素晴らしいツールをご提供いただきありがとうございます。WordPress REST APIと呼ばれるこのツールは、デフォルトで有効化されています。REST APIは、ウェブサイト上のほぼすべての操作や管理タスクをリモートから実行できる技術です。WordPressバージョン4.7.0以降では、WP REST APIはデフォルトで有効化されています。

REST APIを制御する： WordPress REST APIへのアクセスを制限する方法

WordPress REST APIは現時点ではまだ成熟した技術ではなく、コードには予期せぬバグが多数含まれています。そのため、WP Cerberのようなセキュリティプラグインを使用してREST APIへのアクセスを制限する必要があります。皆さん、本当に真剣に受け止めてください。悪いお知らせがあります。最近、WordPress 4.7の新バージョンがリリースされた直後に、重大なバグが発見されました。このバグにより、権限のない訪問者がウェブサイト上の任意の投稿を編集できてしまうのです。このバグはRyan Dewhurst氏によって発見され、WordPressチームによってWordPress 4.7.2で修正されました。

以前のバージョンであるWordPress 4.7.1 は、セキュリティおよびメンテナンスリリースとして発表され、8つのバグが修正されています。残念ながら、REST APIのバグはまだ修正されていません。そのため、世界中の何百万ものウェブサイトが保護されていない状態になっています。信じられないかもしれませんが、共有ホスティングでのWordPressのアップデートには数週間かかる場合があります。一体どれだけのウェブサイトがハッキングされ、感染したのでしょうか？

一方、各ウェブサイトでREST APIがサイレントモードで有効化されたため、20件のバグが発見され修正されました。誰でもウェブサイトの管理タスクをバックグラウンドモードで実行できる技術としては、かなりのバグ数です。

WP Cerber Securityプラグインを使用すると、REST APIへのアクセスを完全に制限またはブロックできます。REST APIにバグがいくつあっても問題ありません。