Por que é importante restringir o acesso à API REST do WP
Um bug crítico no WordPress permite que hackers editem qualquer postagem no seu site facilmente.
English version: Why it’s important to restrict access to the WP REST API
Você tem um site com WordPress? Parabéns! Você oferece uma ótima ferramenta para hackers. Ela se chama API REST do WordPress e vem habilitada por padrão. A API REST é uma tecnologia que permite executar praticamente qualquer ação ou tarefa administrativa em um site remotamente. A API REST do WordPress vem habilitada por padrão a partir da versão 4.7.0 do WordPress.
Assuma o controle da API REST: como restringir o acesso à API REST do WordPress
A API REST do WordPress não é uma tecnologia muito madura atualmente e seu código contém muitos bugs imprevistos. É por isso que você precisa restringir o acesso à API REST com um plugin de segurança como o WP Cerber. Por favor, levem isso a sério, pessoal, porque tenho más notícias para vocês. Recentemente, logo após o lançamento da nova versão do WordPress 4.7, um bug crítico foi encontrado. Esse bug permite que visitantes não autorizados editem qualquer postagem em seu site. O bug foi encontrado por Ryan Dewhurst e corrigido pela equipe do WordPress no WordPress 4.7.2.
A versão anterior do WordPress 4.7.1 foi anunciada como Versão de Segurança e Manutenção e traz correções para oito bugs . Infelizmente, o bug da API REST ainda não foi corrigido. Isso deixa milhões de sites desprotegidos em todo o mundo. É difícil de acreditar, mas atualizar o WordPress em hospedagens compartilhadas pode levar várias semanas. Quantos sites já foram hackeados e infectados?
Enquanto isso, desde que a API REST foi silenciosamente habilitada para cada site, 20 (vinte) bugs foram descobertos e corrigidos. São muitos bugs para uma tecnologia que permite que qualquer pessoa execute tarefas administrativas em um site em segundo plano.
O plugin WP Cerber Security permite restringir ou bloquear completamente o acesso à API REST. Não importa quantos bugs a API REST tenha.
WordPress 5.4.1. Uma atualização de segurança corrige sete vulnerabilidades XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback