Cómo deshabilitar la API REST en WordPress
Publicado: 2023-05-28¿Quieres deshabilitar la API Rest pero no sabes cómo hacerlo? No te preocupes; te tenemos cubierto.
En este artículo, explicaremos cómo deshabilitar la API Rest en WordPress y por qué es un paso esencial para la seguridad de su sitio web.
¿Sabía que Rest API es una de las formas más comunes que utilizan los piratas informáticos para obtener acceso no autorizado a un sitio web?
Según Sucuri, una empresa líder en seguridad de sitios web, el 73 % de los sitios web de WordPress pirateados en 2020 se debieron a complementos y temas vulnerables, siendo la API Rest una de las principales vulnerabilidades.
Si se pregunta qué es Rest API y por qué deshabilitarla es crucial para la seguridad de su sitio web, siga leyendo.
En este artículo, brindaremos una guía paso a paso sobre cómo deshabilitar la API Rest en WordPress y explicaremos por qué hacerlo puede evitar que los piratas informáticos exploten las vulnerabilidades de su sitio web.
¿Qué es la API de descanso de WordPress?
WordPress Rest API es una interfaz que permite a los desarrolladores crear aplicaciones web y móviles utilizando los datos de la plataforma de WordPress.
Permite obtener, actualizar y eliminar contenido de ubicaciones remotas mediante la generación de solicitudes HTTP. Si bien ofrece numerosos beneficios, es posible que algunos usuarios deseen desactivarlo por razones de seguridad u otros fines.
Por qué debería deshabilitar la API REST de WordPress
Si es propietario de un sitio web de WordPress, es posible que haya oído hablar de la función REST API que permite a los desarrolladores acceder a los datos del sitio y realizar acciones de forma remota.
Si bien esta función puede ser útil, también presenta algunos riesgos de seguridad, razón por la cual muchos usuarios eligen deshabilitarla. Aquí hay algunas razones por las que debería considerar hacerlo:
1. Acceso no autorizado: la API REST puede proporcionar acceso a información confidencial, como datos de usuario y credenciales de inicio de sesión. Si su sitio tiene medidas débiles de autenticación o autorización, los piratas informáticos pueden aprovechar las vulnerabilidades para obtener acceso no autorizado a su sitio.
2. Ataques de fuerza bruta: con la API REST habilitada, los atacantes pueden usar herramientas automatizadas para realizar solicitudes repetidas a los puntos finales de la API de su sitio, intentando adivinar nombres de usuario y contraseñas válidos. Este tipo de ataque puede sobrecargar su servidor y comprometer la seguridad de su sitio.
3. Ataques DDoS: los piratas informáticos también pueden usar la API REST para lanzar ataques distribuidos de denegación de servicio (DDoS) al sobrecargar el servidor de su sitio con una cantidad excesiva de solicitudes.
Para restringir el acceso a la API REST de WordPress, puede usar complementos o agregar código manualmente al archivo functions.php de su sitio. Al deshabilitar la API REST, puede mejorar la seguridad de su sitio y protegerlo contra posibles ataques.
En conclusión, si bien la API REST de WordPress puede ser una herramienta útil para los desarrolladores, es importante sopesar los beneficios frente a los riesgos de seguridad. Al tomar medidas para restringir el acceso a la API REST, puede proteger su sitio contra amenazas potenciales y mantener sus datos seguros.
Cómo deshabilitar la API de descanso de WordPress [2 métodos]
Si desea deshabilitar la API REST de WordPress para mejorar la seguridad y privacidad de su sitio web, hay dos métodos disponibles. El primer método implica el uso de un complemento, y el segundo método requiere modificar el código de su sitio web.
Ambos métodos son fáciles de seguir. Al restringir el acceso a la API REST de WordPress, puede proteger su sitio web de posibles amenazas de seguridad.
Método 1: usar un complemento
Si le preocupa la seguridad de su sitio web de WordPress, deshabilitar la API REST puede ser una medida efectiva. Afortunadamente, es relativamente simple realizar esta tarea usando complementos.
En esta sección, lo ayudaremos a utilizar el complemento Disable WP REST API para deshabilitar la API REST en su sitio web.
Todo lo que necesita hacer es instalar y activar el complemento Desactivar API REST de WP desde Complementos → Agregar nuevo .
¡Eso es todo! Una vez activado, el complemento bloqueará automáticamente todas las solicitudes a la API REST en su sitio para los usuarios que no hayan iniciado sesión.
Usar un complemento en WordPress para restringir el acceso a la API Rest es una manera fácil y efectiva de deshabilitar la API REST en su sitio de WordPress.
Puede verificar si la API REST está realmente deshabilitada en su sitio web desde este enlace: yourwebsite.com/wp-json
Si esta URL muestra un error 401 como este, significa que la API REST está deshabilitada:
Método 2: deshabilite la API de descanso de WordPress sin complemento
En esta sección, cubriremos el método para deshabilitar la API Rest de WordPress sin usar un complemento. Esta es una forma eficaz de proteger su sitio web y evitar el acceso no autorizado a datos confidenciales.
Siga estos pasos para deshabilitar la API Rest de WordPress sin un complemento:
PASO 1: Vaya a Apariencia → Editor de archivos de temas .
PASO 2: Abra el archivo functions.php y pegue el siguiente código en el archivo:
/** Disable REST API **/ // Filters for WP-API version 1.x add_filter('json_enabled', '__return_false'); add_filter('json_jsonp_enabled', '__return_false'); // Filters for WP-API version 2.x // add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false'); 
Este código bloquea las solicitudes de API REST no autenticadas de usuarios que no han iniciado sesión, deshabilitando efectivamente la API para ellos. Este código también deshabilita wp-json/wp/v2/users conocido como versión 2.x WP API.
PASO 3: Guarde y pruebe sus cambios
Si todo funciona correctamente, debería recibir un mensaje de error 401 no autorizado al acceder al punto final como un usuario que no ha iniciado sesión.
Método 3: restringir el acceso a la API Rest de WordPress
En esta sección, analizaremos cómo restringir el acceso a la API Rest de WordPress, que puede ayudar a mejorar la seguridad de su sitio web.
Al restringir el acceso, puede evitar que las solicitudes no autorizadas accedan a los datos de su sitio a través de la API.
Si agrega la verificación is_user_logged_in al filtro rest_authentication_errors , podrá solicitar autenticación para todas las llamadas a la API REST realizadas.
Así es como puedes hacerlo en unos simples pasos:
PASO 1: Accede al archivo functions.php .
PASO 2: Pegue el siguiente código en el archivo:
add_filter( 'rest_authentication_errors', function( $result ) { // If a previous authentication check was applied, // pass that result along without modification. if ( true === $result || is_wp_error( $result ) ) { return $result; } // No authentication has been performed yet. // Return an error if user is not logged in. if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', __( 'You are not currently logged in.' ), array( 'status' => 401 ) ); } // Our custom authentication check should have no effect // on logged-in requests return $result; }); 
Tenga en cuenta que el parámetro de devolución de llamada entrante puede mostrar WP_Error o un valor boolean . El tipo del parámetro indica el estado del proceso de autenticación.
1. nulo: la autenticación aún no se ha verificado y la devolución de llamada del enlace puede aplicar una autenticación personalizada.
2. booleano: El método de autenticación se ha comprobado previamente. Un valor verdadero indica una autenticación exitosa, mientras que un valor falso indica una autenticación fallida.
3. WP_Error: Hubo un error.
PASO 3: Verifique su sitio web para asegurarse de que funciona correctamente.
¡Eso es todo! Con estos sencillos pasos, ha restringido el acceso a la API Rest de WordPress, lo que hace que su sitio web sea más seguro.
Nota importante: este método puede afectar algunos complementos o temas que se basan en la API Rest, así que asegúrese de probar su sitio web a fondo después de realizar este cambio.
Preguntas más frecuentes
Deshabilitar la API Rest puede ayudar a mejorar la seguridad de su sitio web al evitar el acceso no autorizado a los datos y la funcionalidad de su sitio a través de las solicitudes de la API Rest.
Hay varias formas de deshabilitar Rest API en WordPress, pero el método más fácil es usar un complemento como Disable WP REST API, que le permite deshabilitar Rest API fácilmente sin ningún tipo de codificación.
Deshabilitar la API Rest puede afectar la funcionalidad de algunos complementos o temas que dependen de las solicitudes de la API Rest para funcionar correctamente. Sin embargo, la mayoría de los complementos y temas deberían continuar funcionando normalmente.
Conclusión
Discutimos la importancia de deshabilitar la API Rest en WordPress para mejorar la seguridad y privacidad del sitio web. Repasamos el proceso paso a paso para deshabilitar la API Rest a través de varios métodos. Siguiendo estos métodos, puede proteger fácilmente su sitio web de posibles amenazas.
Agradecemos que se haya tomado el tiempo de leer este artículo y esperamos que le haya sido útil. Si tiene alguna pregunta o ha encontrado algún problema al seguir los pasos mencionados en este artículo, no dude en preguntarnos en la sección de comentarios a continuación. Nuestro equipo está siempre aquí para ayudarte.
Para mantenerse actualizado con los últimos tutoriales y noticias de WordPress, asegúrese de seguir a BetterStudio en Facebook y Twitter. Nuestro equipo comparte regularmente consejos y trucos útiles para ayudar a los propietarios de sitios web a optimizar su presencia en línea.