Beperk de toegang tot de WordPress REST API
Het is tijd om de WordPress REST API onder controle te krijgen
English version: Restrict access to the WordPress REST API
Met WP Cerber Security kunt u de toegang tot de WordPress REST API, die standaard is ingeschakeld, beperken of volledig blokkeren. Om bescherming in te schakelen, gaat u naar het tabblad Hardening en schakelt u Blokkeer toegang tot WordPress REST API in, behalve een van de volgende . Dit blokkeert de toegang tot de REST API, tenzij u er toegang toe verleent in de instellingenvelden hieronder of een IP toevoegt aan de White IP Access List.
Restrict access to WordPress REST API
Als u Contact Form 7, Jetpack of een andere plug-in gebruikt die gebruikmaakt van REST API, moet u de REST API-naamruimten op de witte lijst zetten, zoals hieronder beschreven.
Toegang tot een specifieke REST API-naamruimte toestaan
Een REST API-naamruimte is een onderdeel van een verzoek-URL waarmee WordPress kan herkennen welke programmacode een bepaald REST API-verzoek verwerkt. Om de naamruimte te krijgen, neemt u een tekenreeks tussen /wp-json/ en de volgende schuine streep in de REST-URL. Elke plug-in die REST API gebruikt, gebruikt zijn eigen unieke naamruimte. De onderstaande tabel toont naamruimten voor sommige plug-ins.
| Inpluggen | Naamruimte |
| Contactformulier 7 | contact-form-7 |
| Caldera-formulieren | cf-api |
| Yoast SEO | yoast |
| Jetpack | jetpack |
Geef naamruimte-uitzonderingen op voor REST API als dit nodig is, zoals weergegeven in de schermafbeelding
Sta uw gebruikers toe om REST API te gebruiken
Schakel REST API toestaan voor ingelogde gebruikers in als u het gebruik van REST API onbeperkt wilt toestaan voor elke geautoriseerde (ingelogde) WordPress-gebruiker.
Beperk de toegang tot WordPress REST API door IP-adressen
Om toegang tot de REST API toe te staan vanaf een specifiek IP-adres of een IP-netwerk, voegt u ze toe aan de White IP Access List .
Om de toegang tot de REST API vanaf een specifiek IP-adres of een IP-netwerk volledig te blokkeren, voegt u ze toe aan de Black IP Access List .
Lees meer: IP-toegangslijsten gebruiken om WordPress te beschermen
Hoe u de inventarisatie van REST API-gebruikers kunt stoppen
Om de toegang tot gebruikersgegevens te blokkeren en gebruikerstelling via REST API te stoppen, moet u de instelling Blokkeer toegang tot gebruikersgegevens via REST API inschakelen op het tabblad Hardening. Deze beveiligingsfunctie is ontworpen om hackers te detecteren en te voorkomen dat ze uw site scannen op gebruikersaanmeldingen en gevoelige gebruikersgegevens.
Wanneer het is ingeschakeld, blokkeert Cerber alle verzoeken aan de REST API en retourneert HTTP 403-fout. U kunt dergelijke gebeurtenissen volgen op het tabblad Activiteit. Ze worden geregistreerd als "Verzoek aan REST API geweigerd".
Toegang tot gebruikersgegevens via WordPress REST API wordt altijd verleend in twee gevallen:
- Voor beheerdersaccounts, wat betekent dat als "Stop gebruikersopsomming" via REST API is ingeschakeld, alle gebruikers met de beheerdersrol altijd toegang hebben tot de gegevens van gebruikers
- Voor alle IP-adressen in de White IP Access List
Wat is REST-API?
In een notendop is het een technologie die het mogelijk maakt dat twee verschillende stukken code (applicaties) met elkaar kunnen praten en gegevens kunnen uitwisselen op een gestandaardiseerde manier. Met behulp van REST API kunnen ontwikkelaars WordPress-inhoud maken, lezen en bijwerken vanuit externe applicaties die op een externe computer of een website worden uitgevoerd. De WP REST API is standaard ingeschakeld vanaf WordPress versie 4.7.0.
Lees meer: Waarom het belangrijk is om de toegang tot de WP REST API te beperken
Documentatie voor ontwikkelaars: https://developer.wordpress.org/rest-api/
Weet u dat u REST API-instellingen op een willekeurig aantal websites op afstand kunt beheren? Schakel een hoofdwebsitemodus in op de hoofdwebsite van Cerber.Hub en een beheerde websitemodus op uw andere websites om alle WP Cerber-instanties vanaf één dashboard te beheren.
Volgende stappen die uw WordPress-beveiliging versterken
- Hoe registraties van spam-gebruikers te blokkeren
- Inzendingen van spamformulieren blokkeren
- Hoe een WordPress-gebruiker te blokkeren
- Hoe de toegang vanaf een specifiek IP-adres te blokkeren
- Hoe uit te schakelen met een specifieke gebruikersnaam
Wat is de Cerber-beveiliging eigenlijk? Het is een complete beveiligingsoplossing voor WordPress die is voortgekomen uit een eenvoudige maar effectieve plug-in voor het beperken van inlogpogingen .
WP Cerber Security 4.0
Hoe de datumnotatie op de activiteitenpagina te wijzigen
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.