Waarom het belangrijk is om de toegang tot de WP REST API te beperken
Een kritieke bug in WordPress zorgt ervoor dat hackers eenvoudig berichten op uw website kunnen bewerken.
English version: Why it’s important to restrict access to the WP REST API
Heb je een WordPress-website? Gefeliciteerd! Je biedt een geweldige tool voor hackers. Het heet WordPress REST API en is standaard ingeschakeld. REST API is een technologie waarmee je bijna elke actie of administratieve taak op afstand op een website kunt uitvoeren. De WP REST API is standaard ingeschakeld vanaf WordPress versie 4.7.0.
Neem de controle over REST API: Hoe u de toegang tot WordPress REST API kunt beperken
De WordPress REST API is tegenwoordig nog niet echt volwassen technologie en de code bevat veel onvoorziene bugs. Daarom moet je de toegang tot de REST API beperken met een beveiligingsplugin zoals WP Cerber. Neem het alsjeblieft serieus, jongens, want ik heb slecht nieuws voor je. Onlangs, vlak nadat een nieuwe versie van WordPress 4.7 is uitgebracht, is er een kritieke bug gevonden. Deze bug staat ongeautoriseerde bezoekers toe om elk bericht op je website te bewerken. De bug is gevonden door Ryan Dewhurst en is opgelost door het WordPress-team in WordPress 4.7.2.
De vorige versie WordPress 4.7.1 is aangekondigd als Security and Maintenance Release en heeft oplossingen voor acht bugs . Helaas was de REST API-bug nog niet opgelost. Dat laat miljoenen websites over de hele wereld onbeschermd achter. Het is moeilijk te geloven, maar het updaten van WordPress op gedeelde hostings kan tot enkele weken duren. Hoeveel websites zijn gehackt en geïnfecteerd?
Ondertussen, sinds de REST API stilletjes is ingeschakeld voor elke website, zijn er 20 (twintig) bugs ontdekt en opgelost. Het zijn behoorlijk wat bugs voor technologie die het iedereen mogelijk maakt om administratieve taken uit te voeren op een website in een achtergrondmodus.
Met de WP Cerber Security plugin kunt u de toegang tot de REST API volledig beperken of blokkeren. Ongeacht hoeveel bugs de REST API heeft.
WordPress 5.4.1. Een beveiligingsupdate lost zeven XSS-kwetsbaarheden op
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback