Beperk de toegang tot de WordPress REST API
Het is tijd om de controle over de WordPress REST API over te nemen
English version: Restrict access to the WordPress REST API
Met WP Cerber Security kunt u de toegang tot WordPress REST API, die standaard is ingeschakeld, beperken of volledig blokkeren. Om bescherming in te schakelen, gaat u naar het tabblad Hardening en schakelt u Toegang tot WordPress REST API blokkeren in, behalve een van de volgende opties . Hiermee wordt toegang tot de REST API geblokkeerd, tenzij u toegang verleent in de onderstaande instellingenvelden of een IP toevoegt aan de White IP Access List.
Restrict access to WordPress REST API
Als u Contact Form 7, Jetpack of een andere plug-in gebruikt die gebruikmaakt van REST API, moet u de REST API-naamruimten ervan op de witte lijst zetten, zoals hieronder beschreven.
Toegang tot een specifieke REST API-naamruimte toestaan
Een REST API-naamruimte is een onderdeel van een aanvraag-URL waarmee WordPress kan herkennen welke programmacode een bepaalde REST API-aanvraag verwerkt. Om de naamruimte te krijgen, neemt u een string tussen /wp-json/ en de volgende slash in de REST-URL. Elke plugin die gebruikmaakt van REST API gebruikt zijn eigen unieke naamruimte. De onderstaande tabel toont naamruimten voor enkele plugins.
| Plug-in | Naamruimte |
| Contactformulier 7 | contact-form-7 |
| Caldera-vormen | cf-api |
| Yoast SEO | yoast |
| Jetpack | jetpack |
Geef indien nodig naamruimte-uitzonderingen op voor REST API, zoals weergegeven in de schermafbeelding
Geef uw gebruikers toestemming om REST API te gebruiken
Schakel REST API toestaan voor ingelogde gebruikers in als u het gebruik van REST API wilt toestaan voor alle geautoriseerde (ingelogde) WordPress-gebruikers zonder beperkingen.
Beperk de toegang tot WordPress REST API via IP-adressen
Om toegang tot de REST API vanaf een specifiek IP-adres of een IP-netwerk toe te staan, voegt u deze toe aan de White IP Access List .
Om de toegang tot REST API vanaf een specifiek IP-adres of IP-netwerk volledig te blokkeren, voegt u deze toe aan de Black IP Access List .
Lees meer: IP-toegangslijsten gebruiken om WordPress te beschermen
Hoe u de REST API-gebruikersopsomming kunt stoppen
Om toegang tot gebruikersgegevens te blokkeren en gebruikersenumeratie via REST API te stoppen, moet u de instelling Toegang tot gebruikersgegevens via REST API blokkeren inschakelen op het tabblad Hardening. Deze beveiligingsfunctie is ontworpen om hackers te detecteren en te voorkomen dat ze uw site scannen op gebruikerslogins en gevoelige gebruikersgegevens.
Wanneer het is ingeschakeld, blokkeert Cerber alle verzoeken aan REST API en retourneert HTTP 403 Error. U kunt dergelijke gebeurtenissen controleren op het tabblad Activiteit. Ze worden geregistreerd als "Verzoek aan REST API geweigerd".
Toegang tot gebruikersgegevens via de WordPress REST API wordt altijd verleend in twee gevallen:
- Voor beheerdersaccounts betekent dit dat als 'Gebruikersopsomming stoppen' via REST API is ingeschakeld, alle gebruikers met de beheerdersrol altijd toegang hebben tot de gegevens van gebruikers
- Voor alle IP-adressen in de White IP Access List
Wat is REST API?
In een notendop is het een technologie die twee verschillende stukken code (applicaties) in staat stelt om met elkaar te communiceren en data uit te wisselen op een gestandaardiseerde manier. Met behulp van REST API kunnen ontwikkelaars WordPress-content maken, lezen en updaten vanuit externe applicaties die op een externe computer of website draaien. De WP REST API is standaard ingeschakeld vanaf WordPress versie 4.7.0.
Lees meer: Waarom het belangrijk is om de toegang tot de WP REST API te beperken
Documentatie voor ontwikkelaars: https://developer.wordpress.org/rest-api/
Wist u dat u REST API-instellingen op een willekeurig aantal websites op afstand kunt beheren? Schakel een hoofdwebsitemodus in op de hoofdwebsite van Cerber.Hub en een beheerde websitemodus op uw andere websites om alle WP Cerber-instanties vanaf één dashboard te beheren.
Volgende stappen die uw WordPress-beveiliging zullen versterken
- Hoe spamgebruikersregistraties te blokkeren
- Hoe u spamformulierinzendingen kunt blokkeren
- Hoe blokkeer je een WordPress-gebruiker?
- Hoe blokkeer ik de toegang vanaf een specifiek IP-adres?
- Hoe u het gebruik van een specifieke gebruikersnaam kunt uitschakelen
Wat is Cerber Security eigenlijk? Het is een complete beveiligingsoplossing voor WordPress die is geëvolueerd van een eenvoudige maar effectieve plugin om het aantal inlogpogingen te beperken .
WP Cerber Security 4.0
Hoe u de datumnotatie op de activiteitenpagina kunt wijzigen
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.