Почему важно ограничить доступ к WP REST API
Критическая ошибка в WordPress позволяет хакерам легко редактировать любую публикацию на вашем сайте.
English version: Why it’s important to restrict access to the WP REST API
У вас есть сайт на базе WordPress? Поздравляем! Вы предлагаете отличный инструмент для хакеров. Он называется WordPress REST API и включен по умолчанию. REST API — это технология, которая позволяет выполнять практически любые действия или административные задачи на сайте удаленно. WP REST API включен по умолчанию, начиная с версии WordPress 4.7.0.
Возьмите под контроль REST API: как ограничить доступ к WordPress REST API
WordPress REST API в настоящее время не является достаточно зрелой технологией, и его код содержит множество непредвиденных ошибок. Вот почему вам нужно ограничить доступ к REST API с помощью плагина безопасности, такого как WP Cerber. Пожалуйста, отнеситесь к этому серьезно, ребята, потому что у меня для вас плохие новости. Недавно, сразу после выхода новой версии WordPress 4.7, была обнаружена критическая ошибка. Эта ошибка позволяет неавторизованным посетителям редактировать любую запись на вашем сайте. Ошибка была обнаружена Райаном Дьюхерстом и исправлена командой WordPress в WordPress 4.7.2.
Предыдущая версия WordPress 4.7.1 была объявлена как Security and Maintenance Release и содержит исправления восьми ошибок . К сожалению, ошибка REST API еще не была исправлена. Это оставляет незащищенными миллионы веб-сайтов по всему миру. Трудно поверить, но обновление WordPress на общих хостингах может занять до нескольких недель. Сколько веб-сайтов было взломано и заражено?
Между тем, с тех пор как REST API был тихо включен для каждого веб-сайта, было обнаружено и исправлено 20 (двадцать) ошибок. Это довольно много ошибок для технологии, которая позволяет любому выполнять административные задачи на веб-сайте в фоновом режиме.
Плагин WP Cerber Security позволяет вам полностью ограничить или заблокировать доступ к REST API. Независимо от того, сколько ошибок в REST API.
WordPress 5.4.1. Обновление безопасности устраняет семь уязвимостей XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Does mail chimp have a rest api namespace that I should include?
RE: previous comment
7. Restrict access to REST API and XML-RPC
Go to the Hardening admin page.
Check Disable REST API. Specify namespace exceptions for REST API if it’s needed. For instance, if you use Contact Form 7, the namespace is contact-form-7 for Jetpack it’s jetpack.
Please ask the mailchimp team. If their solution uses WordPress REST API in a way, they must know.
How do I establish what my enabled plugins name spaces are
You can easily find out the REST API namespace if you check a request URL and take a string between /wp-json/ and the next slash /. For example, here you can see the Contact Form 7 namespace which is contact-form-7: https://wpcerber.ru/wp-json/contact-form-7/v1/contact-forms/250/feedback