WordPress security explained
WordPress security explained

Почему это важно, чтобы ограничить доступ к WP REST API

Критическая ошибка в WordPress позволяет хакерам легко редактировать любые сообщения на вашем сайте.


English version: Why it’s important to restrict access to the WP REST API


У вас есть веб-сайт на WordPress? Поздравляем! Вы предлагаете отличный инструмент для хакеров. Он называется WordPress REST API и включен по умолчанию. REST API – это технология, которая позволяет удаленно выполнять практически любые действия или административные задачи на веб-сайте. WP REST API включен по умолчанию, начиная с версии 4.7.0 WordPress.

Взять под контроль REST API: Как ограничить доступ к WordPress REST API

WordPress REST API в настоящее время не является достаточно зрелой технологией, и его код содержит множество непредвиденных ошибок. Вот почему вам нужно ограничить доступ к REST API с помощью плагина безопасности, такого как WP Cerber. Пожалуйста, отнеситесь к этому серьезно, ребята, потому что у меня для вас плохие новости. Недавно, сразу после выхода новой версии WordPress 4.7, была обнаружена критическая ошибка. Эта ошибка позволяет неавторизованным посетителям редактировать любые сообщения на вашем сайте. Ошибка была найдена Райаном Дьюхерстом и была исправлена командой WordPress в WordPress 4.7.2.

Предыдущая версия WordPress 4.7.1 была анонсирована как Security and Maintenance Release и содержит исправления для восьми ошибок . К сожалению, ошибка REST API еще не была исправлена. Это оставляет незащищенные миллионы сайтов по всему миру. В это трудно поверить, но обновление WordPress на общих хостингах может занять до нескольких недель. Сколько сайтов было взломано и заражено?

Между тем, поскольку REST API был автоматически включен для каждого веб-сайта, было обнаружено и исправлено 20 (двадцать) ошибок. Это довольно много ошибок для технологии, которая позволяет любому выполнять административные задачи на сайте в фоновом режиме.

Плагин WP Cerber Security позволяет полностью ограничить или заблокировать доступ к REST API. Независимо от того, сколько ошибок есть в REST API.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments