Restringir o acesso à API REST do WordPress
É hora de assumir o controle da API REST do WordPress
English version: Restrict access to the WordPress REST API
O WP Cerber Security permite que você restrinja ou bloqueie completamente o acesso à API REST do WordPress, que é habilitada por padrão. Para habilitar a proteção, vá para a aba Hardening e habilite Block access to WordPress REST API except any of the following . Isso bloqueia o acesso à API REST, a menos que você conceda acesso a ela nos campos de configurações abaixo ou adicione um IP à White IP Access List.
Restrict access to WordPress REST API
Se você usar o Contact Form 7, Jetpack ou outro plugin que faça uso da API REST, será necessário colocar seus namespaces da API REST na lista de permissões, conforme descrito abaixo.
Permitir acesso a um namespace específico da API REST
Um namespace REST API é uma parte de uma URL de solicitação que permite que o WordPress reconheça qual código de programa processa uma determinada solicitação REST API. Para obter o namespace, pegue uma string entre /wp-json/ e a próxima barra na URL REST. Observe que cada plugin que utiliza REST API usa seu próprio namespace exclusivo. A tabela abaixo mostra os namespaces de alguns plugins.
| Plug-in | Espaço de nomes |
| Formulário de contato 7 | contact-form-7 |
| Formas de Caldera | cf-api |
| Yoast SEO | yoast |
| Mochila a jato | jetpack |
| Formas de gravidade | gf |
Especifique exceções de namespace para a API REST, se necessário, conforme mostrado na captura de tela
Permita que seus usuários utilizem a API REST
Habilite Permitir API REST para usuários conectados se quiser permitir o uso da API REST para qualquer usuário autorizado (conectado) do WordPress, sem limitação.
Restringir o acesso à API REST do WordPress por endereços IP
Para permitir o acesso à API REST de um endereço IP específico ou de uma rede IP, adicione-os à Lista Branca de Acesso IP .
Para bloquear completamente o acesso à API REST de um endereço IP específico ou de uma rede IP, adicione-os à Lista Negra de Acesso IP .
Leia mais: Usando listas de acesso IP para proteger o WordPress
Como parar a enumeração de usuários da API REST
Para bloquear o acesso aos dados dos usuários e interromper a enumeração de usuários via REST API, você precisa habilitar a configuração Block access to users' data via REST API na aba Hardening. Esse recurso de segurança foi criado para detectar e impedir que hackers escaneiem seu site em busca de logins de usuários e dados confidenciais de usuários.
Quando habilitado, o Cerber bloqueia todas as solicitações para a API REST e retorna o erro HTTP 403. Você pode monitorar esses eventos na aba Activity. Eles são registrados como "Solicitação para a API REST negada".
O acesso aos dados dos usuários via API REST do WordPress é sempre concedido em dois casos:
- Para contas de administrador, o que significa que se “Parar enumeração de usuários” via API REST estiver habilitado, todos os usuários com a função de administrador sempre terão acesso aos dados dos usuários
- Para todos os endereços IP na White IP Access List
O que é REST API?
Em poucas palavras, é uma tecnologia que permite que dois pedaços diferentes de código (aplicativos) conversem entre si e troquem dados de forma padronizada. Usar a REST API permite que os desenvolvedores criem, leiam e atualizem o conteúdo do WordPress a partir de aplicativos externos em execução em um computador remoto ou em um site. A WP REST API é habilitada por padrão a partir da versão 4.7.0 do WordPress.
Leia mais: Por que é importante restringir o acesso à API REST do WP
Documentação para desenvolvedores: https://developer.wordpress.org/rest-api/
Você sabia que pode gerenciar as configurações da REST API em qualquer número de sites remotamente? Habilite um modo de site principal no site principal do Cerber.Hub e um modo de site gerenciado em seus outros sites para gerenciar todas as instâncias do WP Cerber a partir de um painel.
Próximos passos que fortalecerão a segurança do seu WordPress
- Como bloquear registros de usuários de spam
- Como bloquear envios de formulários de spam
- Como bloquear um usuário do WordPress
- Como bloquear o acesso de um endereço IP específico
- Como desabilitar o uso de um nome de usuário específico
O que é o Cerber Security, afinal? É uma solução de segurança completa para WordPress que evoluiu de um plugin de limite de tentativas de login simples, mas eficaz.
Como limitar o número de sessões de usuários simultâneas no WordPress
WP Cerber Security 8.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.