WordPress Security How To
WordPress Security How To

Restringir o acesso à API REST do WordPress

É hora de assumir o controle da API REST do WordPress


English version: Restrict access to the WordPress REST API


WP Cerber Security permite restringir ou bloquear completamente o acesso à API REST do WordPress, que está habilitada por padrão. Para ativar a proteção, vá para a guia Hardening e ative Bloquear acesso à API REST do WordPress, exceto qualquer um dos seguintes . Isso bloqueia o acesso à API REST, a menos que você conceda acesso a ela nos campos de configurações abaixo ou adicione um IP à lista de acesso de IP branco.

Restrict access to WordPress REST API

Restrict access to WordPress REST API

Se você usar o Contact Form 7, Jetpack ou outro plug-in que faça uso da API REST, será necessário colocar seus namespaces da API REST na lista de permissões, conforme descrito abaixo.

Permitir acesso a um namespace específico da API REST

Um namespace da API REST faz parte de uma URL de solicitação que permite ao WordPress reconhecer qual código de programa processa uma determinada solicitação da API REST. Para obter o namespace, pegue uma string entre /wp-json/ e a próxima barra no URL REST. Cada plugin que utiliza API REST usa seu próprio namespace exclusivo. A tabela abaixo mostra namespaces para alguns plugins.

Plugar Espaço para nome
Formulário de contato 7 contact-form-7
Formas de caldeira cf-api
Yoast SEO yoast
Mochila a jato jetpack

Especifique exceções de namespace para API REST, se necessário, conforme mostrado na captura de tela

Permita que seus usuários usem a API REST

Habilite Permitir API REST para usuários logados se desejar permitir o uso da API REST para qualquer usuário autorizado (logado) do WordPress sem limitação.

Restringir o acesso à API REST do WordPress por endereços IP

Para permitir o acesso à API REST a partir de um endereço IP específico ou de uma rede IP, adicione-os à White IP Access List .

Para bloquear completamente o acesso à API REST de um endereço IP específico ou de uma rede IP, adicione-os à Black IP Access List .

Leia mais: Usando listas de acesso IP para proteger o WordPress

Como parar a enumeração de usuários da API REST

Para bloquear o acesso aos dados dos usuários e interromper a enumeração de usuários por meio da API REST, você precisa ativar a configuração Bloquear o acesso aos dados dos usuários por meio da API REST na guia Proteção. Este recurso de segurança foi projetado para detectar e impedir que hackers verifiquem seu site em busca de logins de usuários e dados confidenciais de usuários.

Quando ativado, o Cerber bloqueia todas as solicitações à API REST e retorna o erro HTTP 403. Você pode monitorar esses eventos na guia Atividade. Eles são registrados como "Solicitação de API REST negada".

O acesso aos dados dos usuários via API REST do WordPress é sempre concedido em dois casos:

  1. Para contas de administrador, ou seja, se “Parar enumeração de usuários” via API REST estiver ativado, todos os usuários com função de administrador sempre terão acesso aos dados dos usuários
  2. Para todos os endereços IP na lista de acesso IP branca

O que é API REST?

Resumindo, é uma tecnologia que permite que dois trechos de código (aplicativos) diferentes se comuniquem e troquem dados de forma padronizada. O uso da API REST permite que os desenvolvedores criem, leiam e atualizem o conteúdo do WordPress a partir de aplicativos externos executados em um computador remoto ou site. A API WP REST é habilitada por padrão a partir da versão 4.7.0 do WordPress.

Leia mais: Por que é importante restringir o acesso à API WP REST

Documentação para desenvolvedores: https://developer.wordpress.org/rest-api/

Você sabia que pode gerenciar remotamente as configurações da API REST em qualquer número de sites? Habilite um modo de site principal no site principal do Cerber.Hub e um modo de site gerenciado em seus outros sites para gerenciar todas as instâncias do WP Cerber a partir de um painel.

Próximas etapas que fortalecerão a segurança do WordPress

O que é a Cerber Security, afinal? É uma solução de segurança completa para WordPress que evoluiu de um plugin de limite de tentativas de login simples, mas eficaz.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to HansR
Cancel Reply