Beperk de toegang tot de WordPress REST API
Het is tijd om de controle over de WordPress REST API over te nemen
English version: Restrict access to the WordPress REST API
Met WP Cerber Security kunt u de toegang tot de WordPress REST API, die standaard is ingeschakeld, beperken of volledig blokkeren. Om de bescherming in te schakelen, gaat u naar het tabblad Verharding en schakelt u Toegang blokkeren tot WordPress REST API in, behalve een van de volgende . Dit blokkeert de toegang tot de REST API, tenzij u er toegang toe verleent in de onderstaande instellingenvelden of een IP toevoegt aan de White IP Access List.
Restrict access to WordPress REST API
Als u Contact Form 7, Jetpack of een andere plug-in gebruikt die gebruik maakt van REST API, moet u de REST API-naamruimten op de witte lijst zetten, zoals hieronder beschreven.
Geef toegang tot een specifieke REST API-naamruimte
Een REST API-naamruimte is een onderdeel van een verzoek-URL waarmee WordPress kan herkennen welke programmacode een bepaald REST API-verzoek verwerkt. Om de naamruimte te verkrijgen, neemt u een tekenreeks tussen /wp-json/ en de volgende schuine streep in de REST-URL. Elke plug-in die REST API gebruikt, gebruikt zijn eigen unieke naamruimte. De onderstaande tabel toont naamruimten voor sommige plug-ins.
| Inpluggen | Naamruimte |
| Contactformulier 7 | contact-form-7 |
| Caldera-formulieren | cf-api |
| Yoast SEO | yoast |
| Jetpack | jetpack |
Geef naamruimte-uitzonderingen op voor de REST API als dit nodig is, zoals weergegeven in de schermafbeelding
Geef uw gebruikers toestemming om de REST API te gebruiken
Schakel Sta REST API toe voor ingelogde gebruikers in als je het gebruik van REST API onbeperkt wilt toestaan voor elke geautoriseerde (ingelogde) WordPress-gebruiker.
Beperk de toegang tot de WordPress REST API op basis van IP-adressen
Om toegang tot de REST API vanaf een specifiek IP-adres of een IP-netwerk mogelijk te maken, voegt u deze toe aan de White IP Access List .
Om de toegang tot REST API vanaf een specifiek IP-adres of een IP-netwerk volledig te blokkeren, voegt u deze toe aan de Black IP Access List .
Lees meer: IP-toegangslijsten gebruiken om WordPress te beschermen
Hoe u de REST API-gebruikersopsomming kunt stoppen
Om de toegang tot gebruikersgegevens te blokkeren en de opsomming van gebruikers via REST API te stoppen, moet u de instelling Blokkeer toegang tot gebruikersgegevens via REST API inschakelen op het tabblad Hardening. Deze beveiligingsfunctie is ontworpen om te detecteren en te voorkomen dat hackers uw site scannen op gebruikersaanmeldingen en gevoelige gebruikersgegevens.
Wanneer dit is ingeschakeld, blokkeert Cerber alle verzoeken aan de REST API en retourneert HTTP 403-fout. U kunt dergelijke gebeurtenissen volgen op het tabblad Activiteit. Ze worden geregistreerd als 'Verzoek om REST API geweigerd'.
Toegang tot gebruikersgegevens via WordPress REST API wordt altijd in twee gevallen verleend:
- Voor beheerdersaccounts, wat betekent dat als “Gebruikersopsomming stoppen” via REST API is ingeschakeld, alle gebruikers met de beheerdersrol altijd toegang hebben tot de gegevens van gebruikers
- Voor alle IP-adressen in de White IP Access List
Wat is REST-API?
Kort gezegd is het een technologie waarmee twee verschillende stukjes code (applicaties) met elkaar kunnen praten en gegevens op een gestandaardiseerde manier kunnen uitwisselen. Met behulp van de REST API kunnen ontwikkelaars WordPress-inhoud maken, lezen en bijwerken vanuit externe applicaties die op een externe computer of een website draaien. De WP REST API is standaard ingeschakeld vanaf WordPress-versie 4.7.0.
Lees meer: Waarom het belangrijk is om de toegang tot de WP REST API te beperken
Documentatie voor ontwikkelaars: https://developer.wordpress.org/rest-api/
Wist u dat u REST API-instellingen op een willekeurig aantal websites op afstand kunt beheren? Schakel een hoofdwebsitemodus in op de hoofdwebsite van Cerber.Hub en een beheerde websitemodus op uw andere websites om alle WP Cerber-instanties vanaf één dashboard te beheren.
Volgende stappen die uw WordPress-beveiliging versterken
- Hoe spam-gebruikersregistraties te blokkeren
- Hoe u spamformulierinzendingen kunt blokkeren
- Hoe een WordPress-gebruiker te blokkeren
- Hoe u de toegang vanaf een specifiek IP-adres kunt blokkeren
- Hoe u het gebruik van een specifieke gebruikersnaam kunt uitschakelen
Wat is de Cerber-beveiliging eigenlijk? Het is een complete beveiligingsoplossing voor WordPress die is voortgekomen uit een eenvoudige maar effectieve plug-in voor het beperken van inlogpogingen .
Hoe u het aantal gelijktijdige gebruikerssessies in WordPress kunt beperken
WP Cerber Security 8.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.