WordPress Security How To
WordPress Security How To

Ogranicz dostęp do API REST WordPress

Czas przejąć kontrolę nad WordPress REST API


English version: Restrict access to the WordPress REST API


WP Cerber Security pozwala ograniczyć lub całkowicie zablokować dostęp do WordPress REST API, które jest domyślnie włączone. Aby włączyć ochronę, przejdź do zakładki Hartowanie i włącz opcję Blokuj dostęp do API REST WordPress, z wyjątkiem któregokolwiek z poniższych . Blokuje to dostęp do API REST, chyba że przyznasz do niego dostęp w polach ustawień poniżej lub dodasz adres IP do Białej Listy Dostępu IP.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Jeśli używasz Contact Form 7, Jetpack lub innej wtyczki korzystającej z REST API, musisz dodać do białej listy jego przestrzenie nazw REST API, jak opisano poniżej.

Zezwól na dostęp do określonej przestrzeni nazw interfejsu API REST

Przestrzeń nazw interfejsu API REST jest częścią adresu URL żądania, która pozwala WordPressowi rozpoznać, jaki kod programu przetwarza określone żądanie interfejsu API REST. Aby uzyskać przestrzeń nazw, weź ciąg znaków pomiędzy /wp-json/ a następnym ukośnikiem w adresie URL REST. Każda wtyczka korzystająca z interfejsu API REST korzysta z własnej, unikalnej przestrzeni nazw. Poniższa tabela pokazuje przestrzenie nazw dla niektórych wtyczek.

Podłącz Przestrzeń nazw
Formularz kontaktowy 7 contact-form-7
Formy kaldery cf-api
Yoast SEO yoast
Plecak odrzutowy jetpack

Określ wyjątki przestrzeni nazw dla interfejsu API REST, jeśli jest to potrzebne, jak pokazano na zrzucie ekranu

Zezwól swoim użytkownikom na korzystanie z interfejsu API REST

Włącz opcję Zezwalaj na interfejs API REST dla zalogowanych użytkowników , jeśli chcesz zezwolić na korzystanie z interfejsu API REST każdemu autoryzowanemu (zalogowanemu) użytkownikowi WordPress bez ograniczeń.

Ogranicz dostęp do API REST WordPress według adresów IP

Aby zezwolić na dostęp do API REST z określonego adresu IP lub sieci IP, dodaj je do Białej Listy Dostępu IP .

Aby całkowicie zablokować dostęp do REST API z określonego adresu IP lub sieci IP dodaj je do Czarnej Listy Dostępu IP .

Przeczytaj więcej: Używanie list dostępu IP do ochrony WordPressa

Jak zatrzymać wyliczanie użytkowników REST API

Aby zablokować dostęp do danych użytkowników oraz zatrzymać wyliczanie użytkowników poprzez REST API należy włączyć opcję Blokuj dostęp do danych użytkowników poprzez REST API w zakładce Hartowanie. Ta funkcja zabezpieczeń ma na celu wykrywanie i zapobieganie skanowaniu Twojej witryny przez hakerów w poszukiwaniu loginów użytkowników i wrażliwych danych użytkowników.

Gdy jest włączona, Cerber blokuje wszystkie żądania do interfejsu API REST i zwraca błąd HTTP 403. Możesz monitorować takie zdarzenia w zakładce Aktywność. Są one rejestrowane jako „Odrzucone żądanie do interfejsu API REST”.

Dostęp do danych użytkowników poprzez WordPress REST API jest udzielany zawsze w dwóch przypadkach:

  1. Dla kont administratorów, czyli jeśli włączona jest opcja „Zatrzymaj wyliczanie użytkowników” poprzez REST API, wszyscy użytkownicy z rolą administratora mają zawsze dostęp do danych użytkowników
  2. Dla wszystkich adresów IP na białej liście dostępu IP

Co to jest API REST?

W skrócie jest to technologia, która pozwala dwóm różnym fragmentom kodu (aplikacjom) komunikować się ze sobą i wymieniać dane w ustandaryzowany sposób. Korzystanie z interfejsu API REST umożliwia programistom tworzenie, odczytywanie i aktualizowanie treści WordPress z zewnętrznych aplikacji działających na komputerze zdalnym lub w witrynie internetowej. Interfejs API WP REST jest domyślnie włączony począwszy od wersji WordPress 4.7.0.

Przeczytaj więcej: Dlaczego ważne jest ograniczenie dostępu do API WP REST

Dokumentacja dla programistów: https://developer.wordpress.org/rest-api/

Czy wiesz, że możesz zdalnie zarządzać ustawieniami REST API na dowolnej liczbie serwisów? Włącz tryb głównej strony internetowej na głównej stronie Cerber.Hub i tryb zarządzanej strony internetowej na innych stronach internetowych, aby zarządzać wszystkimi instancjami WP Cerber z jednego pulpitu nawigacyjnego.

Kolejne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa

Czym w ogóle jest Cerber Security? Jest to kompletne rozwiązanie zabezpieczające dla WordPressa, które rozwinęło się z prostej, ale skutecznej wtyczki ograniczającej liczbę prób logowania .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments