WordPress Security How To
WordPress Security How To

Beperk de toegang tot de WordPress REST API

Het is tijd om de controle over de WordPress REST API over te nemen


English version: Restrict access to the WordPress REST API


Met WP Cerber Security kunt u de toegang tot de WordPress REST API, die standaard is ingeschakeld, beperken of volledig blokkeren. Om de bescherming in te schakelen, gaat u naar het tabblad Verharding en schakelt u Toegang blokkeren tot WordPress REST API in, behalve een van de volgende . Dit blokkeert de toegang tot de REST API, tenzij u er toegang toe verleent in de onderstaande instellingenvelden of een IP toevoegt aan de White IP Access List.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Als u Contact Form 7, Jetpack of een andere plug-in gebruikt die gebruik maakt van REST API, moet u de REST API-naamruimten op de witte lijst zetten, zoals hieronder beschreven.

Geef toegang tot een specifieke REST API-naamruimte

Een REST API-naamruimte is een onderdeel van een verzoek-URL waarmee WordPress kan herkennen welke programmacode een bepaald REST API-verzoek verwerkt. Om de naamruimte te verkrijgen, neemt u een tekenreeks tussen /wp-json/ en de volgende schuine streep in de REST-URL. Elke plug-in die REST API gebruikt, gebruikt zijn eigen unieke naamruimte. De onderstaande tabel toont naamruimten voor sommige plug-ins.

Inpluggen Naamruimte
Contactformulier 7 contact-form-7
Caldera-formulieren cf-api
Yoast SEO yoast
Jetpack jetpack

Geef naamruimte-uitzonderingen op voor de REST API als dit nodig is, zoals weergegeven in de schermafbeelding

Geef uw gebruikers toestemming om de REST API te gebruiken

Schakel Sta REST API toe voor ingelogde gebruikers in als je het gebruik van REST API onbeperkt wilt toestaan voor elke geautoriseerde (ingelogde) WordPress-gebruiker.

Beperk de toegang tot de WordPress REST API op basis van IP-adressen

Om toegang tot de REST API vanaf een specifiek IP-adres of een IP-netwerk mogelijk te maken, voegt u deze toe aan de White IP Access List .

Om de toegang tot REST API vanaf een specifiek IP-adres of een IP-netwerk volledig te blokkeren, voegt u deze toe aan de Black IP Access List .

Lees meer: IP-toegangslijsten gebruiken om WordPress te beschermen

Hoe u de REST API-gebruikersopsomming kunt stoppen

Om de toegang tot gebruikersgegevens te blokkeren en de opsomming van gebruikers via REST API te stoppen, moet u de instelling Blokkeer toegang tot gebruikersgegevens via REST API inschakelen op het tabblad Hardening. Deze beveiligingsfunctie is ontworpen om te detecteren en te voorkomen dat hackers uw site scannen op gebruikersaanmeldingen en gevoelige gebruikersgegevens.

Wanneer dit is ingeschakeld, blokkeert Cerber alle verzoeken aan de REST API en retourneert HTTP 403-fout. U kunt dergelijke gebeurtenissen volgen op het tabblad Activiteit. Ze worden geregistreerd als 'Verzoek om REST API geweigerd'.

Toegang tot gebruikersgegevens via WordPress REST API wordt altijd in twee gevallen verleend:

  1. Voor beheerdersaccounts, wat betekent dat als “Gebruikersopsomming stoppen” via REST API is ingeschakeld, alle gebruikers met de beheerdersrol altijd toegang hebben tot de gegevens van gebruikers
  2. Voor alle IP-adressen in de White IP Access List

Wat is REST-API?

Kort gezegd is het een technologie waarmee twee verschillende stukjes code (applicaties) met elkaar kunnen praten en gegevens op een gestandaardiseerde manier kunnen uitwisselen. Met behulp van de REST API kunnen ontwikkelaars WordPress-inhoud maken, lezen en bijwerken vanuit externe applicaties die op een externe computer of een website draaien. De WP REST API is standaard ingeschakeld vanaf WordPress-versie 4.7.0.

Lees meer: Waarom het belangrijk is om de toegang tot de WP REST API te beperken

Documentatie voor ontwikkelaars: https://developer.wordpress.org/rest-api/

Wist u dat u REST API-instellingen op een willekeurig aantal websites op afstand kunt beheren? Schakel een hoofdwebsitemodus in op de hoofdwebsite van Cerber.Hub en een beheerde websitemodus op uw andere websites om alle WP Cerber-instanties vanaf één dashboard te beheren.

Volgende stappen die uw WordPress-beveiliging versterken

Wat is de Cerber-beveiliging eigenlijk? Het is een complete beveiligingsoplossing voor WordPress die is voortgekomen uit een eenvoudige maar effectieve plug-in voor het beperken van inlogpogingen .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply