WordPress Security How To
WordPress Security How To
Posted By Gregory

Restringir o acesso ao WordPress API REST

É hora de assumir o controle da API REST do WordPress


English version: Restrict access to WordPress REST API


O WP Cerber Security permite restringir ou bloquear completamente o acesso à API REST do WordPress, que é ativada por padrão. Para ativar a proteção, vá para a guia Proteção e ative Bloquear o acesso à API REST do WordPress, exceto qualquer um dos itens a seguir .

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Se você usar o Contact Form 7, o Jetpack ou outro plug-in que use a API REST, será necessário incluir na lista de permissões seus namespaces da API REST, conforme descrito abaixo.

Permitir acesso a um namespace da API REST específico

O que é namespace? Namespace é uma parte de um URL de solicitação que permite ao WordPress reconhecer qual plug-in ou parte do código deve atender a uma determinada solicitação da API REST. Para obter o namespace, pegue uma string entre / wp-json / e a próxima barra na URL REST. Cada plug-in que utiliza a API REST usa seu próprio namespace exclusivo. A tabela abaixo mostra namespaces para alguns plugins.

Plugar Namespace
Formulário de contato 7 contact-form-7
Caldera Forms cf-api
Yoast SEO yoast
Mochila a jato jetpack

Especifique exceções de namespace para a API REST, se necessário, conforme mostrado na captura de tela

Permitir que seus usuários usem a API REST

Ative Permitir API REST para usuários que efetuaram login se você quiser permitir o uso da API REST para qualquer usuário do WordPress autorizado (logado) sem limitação.

Restringir o acesso à API REST do WordPress por endereço IP ou rede IP

Para permitir o acesso à API REST para um endereço IP específico ou uma rede IP, adicione-os à Lista de Acesso IP Branco.

Para bloquear o acesso à API REST para um endereço IP específico ou uma rede IP, adicione-os à Lista de acesso IP preto.

Leia mais: Usando listas de acesso IP para proteger o WordPress

Proteção contra enumeração de usuário da API REST

Para parar a enumeração de usuários e bloquear o acesso aos detalhes dos usuários por meio da API REST, basta ativar a configuração Parar enumeração de usuários na guia WordPress de proteção. Esse recurso de segurança foi projetado para detectar e impedir que hackers varrem o site em busca de nomes de usuários e detalhes do usuário. Quando está habilitado, o Cerber Security bloqueia as enumerações de usuário da API REST e solicitações de enumeração de usuário tradicionais para páginas de arquivo de autor com URL como /? Author = n. Portanto, ninguém terá acesso aos detalhes do usuário por meio da API REST, a menos que você permita o acesso a eles, conforme descrito acima.

O que é a API REST, afinal?

Em suma, é uma tecnologia que permite que duas partes diferentes de código (aplicativos) conversem entre si e troquem dados de maneira padronizada. O uso da API REST permite que os desenvolvedores criem, leiam e atualizem o conteúdo do WordPress de aplicativos externos em execução em um computador ou site diferente. A API REST do WP é ativada por padrão, iniciando a versão 4.7.0 do WordPress.

Leia mais: Por que é importante restringir o acesso à API REST do WP?

Documentação para desenvolvedores: https://developer.wordpress.org/rest-api/

Próximas etapas para fortalecer sua segurança no WordPress

Qual é o Cerber Security, afinal? É uma solução de segurança completa para o WordPress, que é desenvolvida a partir de um plugin de tentativas de login simples, mas eficaz.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments