REST API von WordPress absichern

Das populäre Content Management System (CMS) WordPress basiert auf einer öffentlich zugängigen REST API.

In diesem Artikel habe ich gelesen, dass die RSET API im Standard ohne einen Benutzer / Passwort direkt im Internet verfügbar ist.

Über folgende beide Aufrufe könnt Ihr eure WordPress-Installation selbst kontrollieren:

https://www.deineurl.de/wp-json/
https://www.deineurl.de/wp-json/wp/v2/users/

Im ersten Schritt wollte ich meine Homepage über die functions.php des Enfold-Themes entsprechend absichern. Nach genauere Betrachtung ist mir aufgefallen das diese Änderung nicht Update-sicher ist und damit bei jeder Software-Aktualisierung erneut durchgeführt werden muss.

Im zweiten Schritt habe ich dann das Plugin Disable WP REST API installiert und verwendet. Damit bekommt ein nicht angemeldeter Benutzer keine Informationen mehr über die WordPress-Instanz zu Gesicht.

Eine offene REST API im Internet finde ich heutzutage etwas schwierig. Weiß jemand, warum diese API von WordPress im Standard öffentlich zugänglich ist?

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.