WP RESTAPIへのアクセスを制限することが重要な理由
WordPressの重大なバグにより、ハッカーはWebサイト上の投稿を簡単に編集できます。
English version: Why it’s important to restrict access to the WP REST API
WordPressを利用したウェブサイトはありますか?おめでとう!あなたはハッカーのための素晴らしいツールを提供します。これはWordPressREST APIと呼ばれ、デフォルトで有効になっています。 REST APIは、Webサイトでほとんどすべてのアクションまたは管理タスクをリモートで実行できるようにするテクノロジーです。 WP REST APIは、WordPressバージョン4.7.0以降、デフォルトで有効になっています。
REST APIを制御する: WordPress RESTAPIへのアクセスを制限する方法
WordPress REST APIは、今日では完全に成熟したテクノロジーではなく、そのコードには予期しないバグがたくさん含まれています。そのため、WPCerberなどのセキュリティプラグインを使用してRESTAPIへのアクセスを制限する必要があります。どうか、真剣に受け止めてください。悪い知らせがあります。最近、WordPress 4.7の新しいバージョンがリリースされた直後に、重大なバグが発見されました。このバグにより、許可されていない訪問者がWebサイトの投稿を編集できるようになります。このバグはRyanDewhurstによって発見され、WordPress4.7.2のWordPressチームによって修正されました。
以前のバージョンのWordPress4.7.1 は、セキュリティとメンテナンスのリリースとして発表されており、8つのバグが修正されています。残念ながら、RESTAPIのバグはまだ修正されていませんでした。そのため、世界中の何百万ものWebサイトが保護されていません。信じがたいことですが、共有ホスティングでWordPressを更新するには数週間かかる場合があります。ハッキングされて感染したWebサイトはいくつありますか?
その間、REST APIが各Webサイトでサイレントに有効化されたため、20(20)個のバグが発見されて修正されました。誰もがバックグラウンドモードでウェブサイトの管理タスクを実行できるようにするテクノロジーには、かなり多くのバグがあります。
WP Cerber Securityプラグインを使用すると、RESTAPIへのアクセスを完全に制限またはブロックできます。 RESTAPIにいくつのバグがあっても。
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback