Restringir o acesso à API REST do WordPress
É hora de assumir o controle da API REST do WordPress
English version: Restrict access to the WordPress REST API
WP Cerber Security permite restringir ou bloquear completamente o acesso à API REST do WordPress, que está habilitada por padrão. Para ativar a proteção, vá para a guia Hardening e ative Bloquear acesso à API REST do WordPress, exceto qualquer um dos seguintes . Isso bloqueia o acesso à API REST, a menos que você conceda acesso a ela nos campos de configurações abaixo ou adicione um IP à lista de acesso de IP branco.
Restrict access to WordPress REST API
Se você usar o Contact Form 7, Jetpack ou outro plug-in que faça uso da API REST, será necessário colocar seus namespaces da API REST na lista de permissões, conforme descrito abaixo.
Permitir acesso a um namespace específico da API REST
Um namespace da API REST faz parte de uma URL de solicitação que permite ao WordPress reconhecer qual código de programa processa uma determinada solicitação da API REST. Para obter o namespace, pegue uma string entre /wp-json/ e a próxima barra no URL REST. Cada plugin que utiliza API REST usa seu próprio namespace exclusivo. A tabela abaixo mostra namespaces para alguns plugins.
| Plugar | Espaço para nome |
| Formulário de contato 7 | contact-form-7 |
| Formas de caldeira | cf-api |
| Yoast SEO | yoast |
| Mochila a jato | jetpack |
Especifique exceções de namespace para API REST, se necessário, conforme mostrado na captura de tela
Permita que seus usuários usem a API REST
Habilite Permitir API REST para usuários logados se desejar permitir o uso da API REST para qualquer usuário autorizado (logado) do WordPress sem limitação.
Restringir o acesso à API REST do WordPress por endereços IP
Para permitir o acesso à API REST a partir de um endereço IP específico ou de uma rede IP, adicione-os à White IP Access List .
Para bloquear completamente o acesso à API REST de um endereço IP específico ou de uma rede IP, adicione-os à Black IP Access List .
Leia mais: Usando listas de acesso IP para proteger o WordPress
Como parar a enumeração de usuários da API REST
Para bloquear o acesso aos dados dos usuários e interromper a enumeração de usuários por meio da API REST, você precisa ativar a configuração Bloquear o acesso aos dados dos usuários por meio da API REST na guia Proteção. Este recurso de segurança foi projetado para detectar e impedir que hackers verifiquem seu site em busca de logins de usuários e dados confidenciais de usuários.
Quando ativado, o Cerber bloqueia todas as solicitações à API REST e retorna o erro HTTP 403. Você pode monitorar esses eventos na guia Atividade. Eles são registrados como "Solicitação de API REST negada".
O acesso aos dados dos usuários via API REST do WordPress é sempre concedido em dois casos:
- Para contas de administrador, ou seja, se “Parar enumeração de usuários” via API REST estiver ativado, todos os usuários com função de administrador sempre terão acesso aos dados dos usuários
- Para todos os endereços IP na lista de acesso IP branca
O que é API REST?
Resumindo, é uma tecnologia que permite que dois trechos de código (aplicativos) diferentes se comuniquem e troquem dados de forma padronizada. O uso da API REST permite que os desenvolvedores criem, leiam e atualizem o conteúdo do WordPress a partir de aplicativos externos executados em um computador remoto ou site. A API WP REST é habilitada por padrão a partir da versão 4.7.0 do WordPress.
Leia mais: Por que é importante restringir o acesso à API WP REST
Documentação para desenvolvedores: https://developer.wordpress.org/rest-api/
Você sabia que pode gerenciar remotamente as configurações da API REST em qualquer número de sites? Habilite um modo de site principal no site principal do Cerber.Hub e um modo de site gerenciado em seus outros sites para gerenciar todas as instâncias do WP Cerber a partir de um painel.
Próximas etapas que fortalecerão a segurança do WordPress
- Como bloquear registros de usuários de spam
- Como bloquear envios de formulários de spam
- Como bloquear um usuário WordPress
- Como bloquear o acesso de um endereço IP específico
- Como desativar usando um nome de usuário específico
O que é a Cerber Security, afinal? É uma solução de segurança completa para WordPress que evoluiu de um plugin de limite de tentativas de login simples, mas eficaz.
WP Cerber Security 8.7
Gerenciando senhas de aplicativos WordPress de maneira descomplicada
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.