Почему важно ограничить доступ к WP REST API

English version: Why it’s important to restrict access to the WP REST API

У вас есть сайт на WordPress? Поздравляем! Вы предлагаете отличный инструмент для хакеров. Он называется WordPress REST API и включен по умолчанию. REST API — это технология, позволяющая удаленно выполнять практически любые действия или административные задачи на веб-сайте. WP REST API включен по умолчанию, начиная с версии WordPress 4.7.0.

Возьмите под свой контроль REST API: как ограничить доступ к WordPress REST API

WordPress REST API в настоящее время является не совсем зрелой технологией, и его код содержит множество непредвиденных ошибок. Вот почему вам нужно ограничить доступ к REST API с помощью подключаемого модуля безопасности, такого как WP Cerber. Пожалуйста, отнеситесь к этому серьезно, ребята, потому что у меня для вас плохие новости. Недавно, сразу после выхода новой версии WordPress 4.7, была обнаружена критическая ошибка. Эта ошибка позволяет неавторизованным посетителям редактировать любой пост на вашем сайте. Ошибка была обнаружена Райаном Дьюхерстом и исправлена командой WordPress в WordPress 4.7.2.

Предыдущая версия WordPress 4.7.1 была анонсирована как Security and Maintenance Release и содержит исправления для восьми ошибок . К сожалению, ошибка REST API до сих пор не исправлена. Это оставляет незащищенными миллионы веб-сайтов по всему миру. В это сложно поверить, но обновление WordPress на общих хостингах может занять до нескольких недель. Сколько веб-сайтов было взломано и заражено?

Между тем, поскольку REST API был автоматически включен для каждого веб-сайта, было обнаружено и исправлено 20 (двадцать) ошибок. Довольно много багов для технологии, позволяющей любому пользователю выполнять административные задачи на сайте в фоновом режиме.

Плагин WP Cerber Security позволяет полностью ограничить или заблокировать доступ к REST API. Неважно, сколько ошибок в REST API.