WP REST API へのアクセスを制限することが重要な理由
WordPress の重大なバグにより、ハッカーが Web サイト上の投稿を簡単に編集できるようになります。
English version: Why it’s important to restrict access to the WP REST API
WordPress を使用した Web サイトをお持ちですか?おめでとう!あなたはハッカーに素晴らしいツールを提供しています。これはWordPress REST APIと呼ばれ、デフォルトで有効になっています。 REST API は、Web サイト上のほぼすべてのアクションや管理タスクをリモートで実行できるようにするテクノロジーです。 WP REST API は、WordPress バージョン 4.7.0 以降、デフォルトで有効になります。
REST API を制御する: WordPress REST API へのアクセスを制限する方法
WordPress REST API は現在完全に成熟したテクノロジーではなく、そのコードには予期せぬバグが多数含まれています。そのため、WP Cerber などのセキュリティ プラグインを使用して REST API へのアクセスを制限する必要があります。皆さん、真剣に考えてください、悪い知らせがあるからです。最近、WordPress 4.7 の新バージョンがリリースされた直後に、重大なバグが発見されました。このバグにより、権限のない訪問者が Web サイト上の投稿を編集できるようになります。このバグはRyan Dewhurstによって発見され、WordPress チームによって WordPress 4.7.2 で修正されました。
前バージョンの WordPress 4.7.1 はセキュリティおよびメンテナンス リリースとして発表されており、8 つのバグが修正されています。残念ながら、REST API のバグはまだ修正されていませんでした。そのため、世界中の何百万もの Web サイトが保護されていません。信じられないかもしれませんが、共有ホスティングで WordPress を更新するには最大で数週間かかる場合があります。ハッキングされ感染した Web サイトは何件ありますか?
その間、REST API が各 Web サイトでサイレントに有効になったため、20 個のバグが発見され、修正されました。誰でもバックグラウンド モードで Web サイト上で管理タスクを実行できるようにするテクノロジーには、非常に多くのバグがあります。
WP Cerber Security プラグインを使用すると、REST API へのアクセスを完全に制限またはブロックできます。 REST API にどれだけバグがあっても。
Lauren ( )
Does mail chimp have a rest api namespace that I should include?
Lauren ( )
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Gregory ( )
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
Rhys ( )
How do I establish what my enabled plugins name spaces are
Gregory ( )
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback