Waarom het belangrijk is om de toegang tot de WP REST API te beperken
Een kritieke bug in WordPress stelt hackers in staat om eenvoudig elk bericht op uw website te bewerken.
English version: Why it’s important to restrict access to the WP REST API
Heb je een website die draait op WordPress? Gefeliciteerd! Je biedt hackers een geweldige tool. Het heet de WordPress REST API en deze is standaard ingeschakeld. De REST API is een technologie waarmee je vrijwel elke actie of beheertaak op een website op afstand kunt uitvoeren. De WP REST API is standaard ingeschakeld vanaf WordPress versie 4.7.0.
Beheer de REST API: hoe u de toegang tot de WordPress REST API kunt beperken.
De WordPress REST API is tegenwoordig nog geen volwaardige technologie en de code bevat veel onvoorziene bugs. Daarom is het belangrijk om de toegang tot de REST API te beperken met een beveiligingsplugin zoals WP Cerber. Neem dit alsjeblieft serieus, want ik heb slecht nieuws voor jullie. Kort na de release van WordPress 4.7 is er een kritieke bug ontdekt. Deze bug stelt onbevoegde bezoekers in staat om elk bericht op je website te bewerken. De bug is ontdekt door Ryan Dewhurst en is door het WordPress-team verholpen in versie 4.7.2.
De vorige versie, WordPress 4.7.1, werd aangekondigd als een beveiligings- en onderhoudsupdate en bevatte oplossingen voor acht bugs . Helaas was de bug in de REST API nog niet verholpen. Daardoor blijven miljoenen websites wereldwijd onbeschermd. Het is moeilijk te geloven, maar het updaten van WordPress op shared hosting kan tot wel enkele weken duren. Hoeveel websites zijn er inmiddels gehackt en geïnfecteerd?
Intussen zijn er, sinds de REST API stilletjes voor elke website is ingeschakeld, 20 (twintig) bugs ontdekt en verholpen. Dat is nogal wat bugs voor technologie die het mogelijk maakt om op de achtergrond administratieve taken op een website uit te voeren.
Met de WP Cerber Security-plugin kunt u de toegang tot de REST API volledig beperken of blokkeren, ongeacht hoeveel bugs de REST API bevat.
WP Cerber Security 9.5
WP Cerber Security 9.5.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback