Restringir o acesso à API REST do WordPress
É hora de assumir o controle da API REST do WordPress
English version: Restrict access to the WordPress REST API
O WP Cerber Security permite restringir ou bloquear completamente o acesso à API REST do WordPress, que está habilitada por padrão. Para ativar a proteção, acesse a aba "Reforço de Segurança" e habilite a opção "Bloquear acesso à API REST do WordPress, exceto para os seguintes endereços IP". Isso bloqueará o acesso à API REST, a menos que você conceda permissão nos campos de configuração abaixo ou adicione um endereço IP à Lista de IPs Permitidos.
Restrict access to WordPress REST API
Se você usa o Contact Form 7, o Jetpack ou outro plugin que utiliza a API REST, você precisa adicionar os namespaces da API REST à lista de permissões, conforme descrito abaixo.
Permitir acesso a um namespace específico da API REST.
Um namespace da API REST é uma parte da URL de uma requisição que permite ao WordPress reconhecer qual código processa uma determinada requisição à API REST. Para obter o namespace, extraia a string entre `/wp-json/` e a próxima barra na URL da API REST. Observe que cada plugin que utiliza a API REST usa seu próprio namespace exclusivo. A tabela abaixo mostra os namespaces de alguns plugins.
| Plugin | Espaço de nomes |
| Formulário de contato 7 | contact-form-7 |
| Formas de Caldeira | cf-api |
| Yoast SEO | yoast |
| Jetpack | jetpack |
| Formas de gravidade | gf |
Especifique exceções de namespace para a API REST, se necessário, conforme mostrado na captura de tela.
Permita que seus usuários usem a API REST.
Ative a opção "Permitir API REST para usuários conectados" se desejar permitir o uso da API REST por qualquer usuário autorizado (conectado) do WordPress, sem limitações.
Restringir o acesso à API REST do WordPress por endereços IP
Para permitir o acesso à API REST a partir de um endereço IP específico ou de uma rede IP, adicione-os à Lista de IPs Permitidos .
Para bloquear completamente o acesso à API REST a partir de um endereço IP específico ou de uma rede IP, adicione-os à Lista de Acesso IP Negro .
Saiba mais: Como usar listas de acesso IP para proteger o WordPress
Como interromper a enumeração de usuários da API REST
Para bloquear o acesso aos dados dos usuários e impedir a enumeração de usuários via API REST, você precisa habilitar a configuração "Bloquear acesso aos dados dos usuários via API REST" na guia "Reforço de Segurança". Esse recurso de segurança foi projetado para detectar e impedir que hackers verifiquem seu site em busca de logins de usuários e dados confidenciais.
Quando ativado, o Cerber bloqueia todas as requisições à API REST e retorna um erro HTTP 403. Você pode monitorar esses eventos na aba Atividade. Eles são registrados como "Requisição à API REST negada".
O acesso aos dados dos usuários por meio da API REST do WordPress é sempre concedido em dois casos:
- Para contas de administrador, ou seja, se a opção “Interromper enumeração de usuários” via API REST estiver habilitada, todos os usuários com a função de administrador sempre terão acesso aos dados dos usuários.
- Para todos os endereços IP na Lista Branca de Acesso IP
O que é uma API REST?
Em resumo, é uma tecnologia que permite que dois códigos diferentes (aplicativos) se comuniquem e troquem dados de forma padronizada. O uso da API REST permite que desenvolvedores criem, leiam e atualizem conteúdo do WordPress a partir de aplicativos externos executados em um computador remoto ou em um site. A API REST do WordPress está habilitada por padrão a partir da versão 4.7.0.
Saiba mais: Por que é importante restringir o acesso à API REST do WordPress?
Documentação para desenvolvedores: https://developer.wordpress.org/rest-api/
Você sabia que é possível gerenciar remotamente as configurações da API REST em qualquer número de sites? Habilite o modo de site principal no site principal do Cerber.Hub e o modo de site gerenciado nos seus outros sites para gerenciar todas as instâncias do WP Cerber a partir de um único painel de controle.
Próximos passos para fortalecer a segurança do seu WordPress
- Como bloquear cadastros de usuários de spam
- Como bloquear o envio de formulários de spam
- Como bloquear um usuário do WordPress
- Como bloquear o acesso de um endereço IP específico
- Como desativar o uso de um nome de usuário específico
Afinal, o que é o Cerber Security? É uma solução de segurança completa para WordPress, que evoluiu de um plugin simples, porém eficaz, para limitar tentativas de login .
WP Cerber Security 8.7
Gerencie as senhas do seu aplicativo WordPress de forma descomplicada.
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
OK. But how do I know whether a plugin uses the REST API so I have to add it to the namespace access-list?
1. From the documentation on a plugin.
2. Checking for REST API requests on the Live Traffic page: just click the small “REST API” button above the table.
3. If you know the REST API namespace that is used by a plugin you can search for requests by entering that REST API namespace on the Advanced search form in the “URL contains” field.
4. Disable REST API in the settings completely and check how the plugin works. If the plugin doesn’t work anymore, that means it uses REST API. To find out its namespace look for “Request to REST API denied” events the Activity page.
Mmm… thnx, but that does not really make me happy. I checked e.g. the contact form and that worked because the REST API works for the administrator. For me small blogger with 22 plugins operational this becomes a nuisance and a lot of time and work. Can’t this be done automatically eg by suggesting or something?
And while we are talking, why should I not permit /oembed/ as a permitted namespace? It seems to be used by a robot (and of course Cerber blocks it correctly 🙂 ).
For other questions I will use the support blog as I normally do.
Sorry for the kind of abuse of this blog. Won’t do it again.