Почему важно ограничить доступ к WP REST API

English version: Why it’s important to restrict access to the WP REST API

У вас есть сайт на WordPress? Поздравляем! Вы предоставляете отличный инструмент для хакеров. Он называется WordPress REST API и включен по умолчанию. REST API — это технология, позволяющая удаленно выполнять практически любые действия или административные задачи на веб-сайте. WP REST API включен по умолчанию начиная с версии WordPress 4.7.0.

Возьмите под контроль REST API: как ограничить доступ к REST API WordPress

REST API WordPress — это пока ещё не совсем зрелая технология, и в её коде содержится множество непредвиденных ошибок. Именно поэтому необходимо ограничивать доступ к REST API с помощью плагина безопасности, такого как WP Cerber. Пожалуйста, отнеситесь к этому серьёзно, ребята, потому что у меня для вас плохие новости. Недавно, сразу после выхода новой версии WordPress 4.7, была обнаружена критическая ошибка. Эта ошибка позволяет неавторизованным посетителям редактировать любые записи на вашем сайте. Ошибку обнаружил Райан Дьюхерст , и она была исправлена командой WordPress в версии 4.7.2.

Предыдущая версия WordPress 4.7.1 была анонсирована как релиз, направленный на повышение безопасности и технического обслуживания, и содержит исправления восьми ошибок . К сожалению, ошибка в REST API до сих пор не исправлена. Это оставляет незащищенными миллионы веб-сайтов по всему миру. Трудно поверить, но обновление WordPress на общих хостингах может занять до нескольких недель. Сколько веб-сайтов было взломано и заражено?

Тем временем, с момента включения REST API для каждого веб-сайта в фоновом режиме, было обнаружено и исправлено 20 (двадцать) ошибок. Это довольно много ошибок для технологии, которая позволяет любому выполнять административные задачи на веб-сайте в фоновом режиме.

Плагин WP Cerber Security позволяет полностью ограничить или заблокировать доступ к REST API, независимо от количества ошибок в REST API.