Dlaczego ważne jest ograniczenie dostępu do interfejsu API REST WP

English version: Why it’s important to restrict access to the WP REST API

Czy masz witrynę opartą na WordPressie? Gratulacje! Oferujesz świetne narzędzie dla hakerów. Nazywa się WordPress REST API i jest domyślnie włączone. REST API to technologia, która umożliwia zdalne wykonywanie niemal każdej akcji lub zadań administracyjnych na stronie internetowej. WP REST API jest domyślnie włączone od wersji WordPressa 4.7.0.

Przejęcie kontroli nad REST API: Jak ograniczyć dostęp do REST API WordPress

Interfejs API REST WordPressa nie jest obecnie zbyt dojrzałą technologią, a jego kod zawiera mnóstwo nieprzewidzianych błędów. Dlatego musisz ograniczyć dostęp do interfejsu API REST za pomocą wtyczki zabezpieczającej, takiej jak WP Cerber. Proszę, potraktujcie to poważnie, chłopaki, ponieważ mam dla was złe wieści. Niedawno, tuż po wydaniu nowej wersji WordPressa 4.7, odkryto krytyczny błąd. Błąd ten umożliwia nieautoryzowanym użytkownikom edycję dowolnego wpisu na twojej stronie internetowej. Błąd został znaleziony przez Ryana Dewhursta i naprawiony przez zespół WordPressa w wersji WordPress 4.7.2.

Poprzednia wersja WordPress 4.7.1 została ogłoszona jako Security and Maintenance Release i zawiera poprawki ośmiu błędów . Niestety, błąd REST API nie został jeszcze naprawiony. Pozostawia to miliony stron internetowych na całym świecie bez ochrony. Trudno w to uwierzyć, ale aktualizacja WordPressa na hostingach współdzielonych może potrwać nawet kilka tygodni. Ile stron internetowych zostało zhakowanych i zainfekowanych?

W międzyczasie, odkąd REST API zostało włączone po cichu dla każdej witryny, odkryto i naprawiono 20 (dwadzieścia) błędów. To całkiem sporo błędów jak na technologię, która pozwala każdemu wykonywać zadania administracyjne na witrynie w trybie tła.

Wtyczka WP Cerber Security pozwala całkowicie ograniczyć lub zablokować dostęp do REST API. Niezależnie od tego, ile błędów ma REST API.