WP REST APIへのアクセスを制限することが重要な理由

English version: Why it’s important to restrict access to the WP REST API

WordPress で動くウェブサイトをお持ちですか? おめでとうございます! ハッカーにとって素晴らしいツールを提供しています。これはWordPress REST APIと呼ばれ、デフォルトで有効になっています。REST API は、ウェブサイト上のほぼすべてのアクションや管理タスクをリモートで実行できるテクノロジーです。WordPress バージョン 4.7.0 以降では、WP REST API がデフォルトで有効になっています。

REST API を制御する: WordPress REST API へのアクセスを制限する方法

WordPress REST API は、現在では成熟した技術ではなく、そのコードには予期しないバグが多数含まれています。そのため、WP Cerber などのセキュリティ プラグインを使用して、REST API へのアクセスを制限する必要があります。皆さん、真剣に受け止めてください。悪い知らせがあります。最近、WordPress 4.7 の新しいバージョンがリリースされた直後に、重大なバグが見つかりました。このバグにより、権限のない訪問者が Web サイトの投稿を編集できるようになります。このバグはRyan Dewhurstによって発見され、WordPress チームによって WordPress 4.7.2 で修正されました。

以前のバージョンの WordPress 4.7.1 は、セキュリティおよびメンテナンス リリースとして発表されており、8 つのバグが修正されています。残念ながら、REST API のバグはまだ修正されていません。そのため、世界中の何百万もの Web サイトが保護されていない状態になっています。信じがたいことですが、共有ホスティングでの WordPress の更新には数週間かかる場合があります。ハッキングされ感染した Web サイトはいくつあるでしょうか?

一方、REST API は各 Web サイトでサイレントに有効化されているため、20 個のバグが発見され、修正されました。誰でもバックグラウンド モードで Web サイトの管理タスクを実行できるテクノロジとしては、バグの数はかなり多いと言えます。

WP Cerber Security プラグインを使用すると、REST API へのアクセスを完全に制限またはブロックできます。REST API にバグがいくつあっても問題ありません。