Dlaczego ważne jest ograniczenie dostępu do interfejsu API REST WP
Krytyczny błąd w WordPressie umożliwia hakerom łatwą edycję dowolnego wpisu na Twojej stronie internetowej.
English version: Why it’s important to restrict access to the WP REST API
Masz stronę internetową opartą na WordPressie? Gratulacje! Oferujesz świetne narzędzie dla hakerów. Nazywa się ono WordPress REST API i jest domyślnie włączone. REST API to technologia, która pozwala zdalnie wykonywać niemal wszystkie czynności lub zadania administracyjne na stronie internetowej. WP REST API jest domyślnie włączone od wersji WordPressa 4.7.0.
Przejmij kontrolę nad interfejsem API REST: Jak ograniczyć dostęp do interfejsu API REST WordPress
Interfejs API REST WordPressa nie jest obecnie do końca dojrzałą technologią, a jego kod zawiera mnóstwo nieprzewidzianych błędów. Dlatego należy ograniczyć dostęp do interfejsu API REST za pomocą wtyczki zabezpieczającej, takiej jak WP Cerber. Proszę, potraktujcie to poważnie, bo mam dla Was złe wieści. Niedawno, tuż po wydaniu nowej wersji WordPressa 4.7, odkryto krytyczny błąd. Umożliwia on nieautoryzowanym użytkownikom edycję dowolnego wpisu na stronie. Błąd został odkryty przez Ryana Dewhursta i naprawiony przez zespół WordPressa w wersji WordPress 4.7.2.
Poprzednia wersja WordPressa 4.7.1 została ogłoszona jako wydanie zabezpieczające i konserwacyjne (Security and Maintenance Release) i zawiera poprawki ośmiu błędów . Niestety, błąd w interfejsie API REST nie został jeszcze naprawiony. To pozostawia miliony stron internetowych na całym świecie bez ochrony. Trudno w to uwierzyć, ale aktualizacja WordPressa na hostingach współdzielonych może zająć nawet kilka tygodni. Ile stron internetowych zostało zhakowanych i zainfekowanych?
W międzyczasie, od momentu cichego włączenia interfejsu API REST dla każdej witryny, odkryto i naprawiono 20 (dwadzieścia) błędów. To całkiem sporo jak na technologię, która pozwala każdemu wykonywać zadania administracyjne na witrynie w trybie tła.
Wtyczka WP Cerber Security pozwala całkowicie ograniczyć lub zablokować dostęp do REST API, niezależnie od liczby błędów w REST API.
WP Cerber Security 9.5
WP Cerber Security 9.5.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback