Beperk de toegang tot WordPress REST API
Het is tijd om de controle over WordPress REST API over te nemen
English version: Restrict access to the WordPress REST API
Met WP Cerber Security kunt u de toegang tot de WordPress REST API beperken of volledig blokkeren, die standaard is ingeschakeld. Om beveiliging in te schakelen, gaat u naar het tabblad Hardening en schakelt u Block toegang tot de WordPress REST API in, met uitzondering van een van de volgende .
Als u Contactformulier 7, Jetpack of een andere plug-in gebruikt die gebruikmaakt van REST API, moet u de naamruimten van de REST-API op de volgende manier op de witte lijst zetten.
Vergunningstoegang tot een bepaalde REST API-naamruimte
Wat is naamruimte? Namespace maakt deel uit van een verzoek-URL waarmee WordPress kan herkennen welke plug-in of een deel van de code aan een bepaalde REST API-aanvraag moet voldoen. Als u de naamruimte wilt ophalen , neemt u een tekenreeks tussen / wp-json / en de volgende schuine streep in de REST-URL. Elke plug-in die REST API gebruikt, gebruikt zijn eigen unieke naamruimte. De onderstaande tabel toont naamruimten voor sommige plug-ins.
Inpluggen | namespace |
Contactformulier 7 | contact-form-7 |
Caldera Forms | cf-api |
Yoast SEO | yoast |
Jetpack | jetpack |
Geef naamruimte-uitzonderingen op voor REST API als dit nodig is, zoals wordt weergegeven op de schermafbeelding
Staat uw gebruikers toe REST API te gebruiken
Schakel REST-API toestaan voor ingelogde gebruikers in als u zonder beperking REST-API wilt toestaan voor elke geautoriseerde (ingelogde) WordPress-gebruiker.
Beperk de toegang tot WordPress REST API per IP-adres of IP-netwerk
Als u toegang tot REST API voor een specifiek IP-adres of een IP-netwerk wilt toestaan, voegt u deze toe aan de White IP Access List.
Als u de toegang tot REST API voor een specifiek IP-adres of een IP-netwerk wilt blokkeren, voegt u deze toe aan de Black IP Access List.
Meer lezen: IP-toegangslijsten gebruiken om WordPress te beschermen
Bescherming tegen REST API-gebruikersentelling
Als u de opsomming van gebruikers wilt stoppen en de toegang tot gebruikersgegevens wilt blokkeren via de REST API, hoeft u alleen de instelling voor het tellen van gebruikers voor stoppen in te schakelen op het tabblad Hardening WordPress. Deze beveiligingsfunctie is ontworpen om te detecteren en te voorkomen dat hackers uw site kunnen scannen op gebruikersnamen en gebruikersdetails. Als Cerber Security is ingeschakeld, worden beide blokken geblokkeerd, de RUMP API-gebruikerentelling en traditionele gebruikersumerumverzoeken voor auteursarchiefpagina's met URL zoals /? Author = n. Niemand heeft dus toegang tot de gebruikersgegevens via de REST API, tenzij je toegang hebt tot deze gegevens zoals hierboven beschreven.
Wat is REST API eigenlijk?
In een notendop is het een technologie waarmee twee verschillende codes (applicaties) met elkaar kunnen communiceren en gegevens op een gestandaardiseerde manier kunnen uitwisselen. Met behulp van REST API kunnen ontwikkelaars WordPress-inhoud maken, lezen en bijwerken vanuit externe applicaties die op een andere computer of een website worden uitgevoerd. De WP REST API is standaard ingeschakeld bij het starten van WordPress versie 4.7.0.
Meer informatie: Waarom is het belangrijk om de toegang tot de WP REST API te beperken?
Documentatie voor ontwikkelaars: https://developer.wordpress.org/rest-api/
Volgende stappen die uw WordPress-beveiliging versterken
- Hoe spam gebruikersregistraties te blokkeren
- Hoe spamformulieren te blokkeren
- Hoe een WordPress-gebruiker te blokkeren
- Hoe de toegang van een specifiek IP-adres te blokkeren
- Hoe uit te schakelen met behulp van een specifieke gebruikersnaam
Wat is de Cerber-beveiliging eigenlijk? Het is een complete beveiligingsoplossing voor WordPress, die is geëvolueerd van een eenvoudige maar effectieve plug-in voor limietinlogpogingen .
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.