Comment désactiver l'API REST dans WordPress

Vous souhaitez désactiver l'API Rest mais vous ne savez pas comment faire ? Ne t'inquiète pas; nous avons ce qu'il vous faut.

Dans cet article, nous vous expliquerons comment désactiver l'API Rest dans WordPress et pourquoi c'est une étape essentielle pour la sécurité de votre site web.

Saviez-vous que l'API Rest est l'un des moyens les plus courants utilisés par les pirates pour obtenir un accès non autorisé à un site Web ?

Selon Sucuri, l'une des principales sociétés de sécurité de sites Web, 73 % des sites Web WordPress piratés en 2020 étaient dus à des plugins et des thèmes vulnérables, l'API Rest étant l'une des principales vulnérabilités.

Si vous vous demandez ce qu'est l'API Rest et pourquoi sa désactivation est cruciale pour la sécurité de votre site Web, continuez à lire.

Dans cet article, nous fournirons un guide étape par étape sur la façon de désactiver l'API Rest dans WordPress et expliquerons pourquoi cela peut empêcher les pirates d'exploiter les vulnérabilités de votre site Web.

Qu'est-ce que l'API WordPress Rest ?

WordPress Rest API est une interface qui permet aux développeurs de créer des applications Web et mobiles en utilisant les données de la plateforme WordPress.

Il permet de récupérer, de mettre à jour et de supprimer du contenu à partir d'emplacements distants en générant des requêtes HTTP. Bien qu'il offre de nombreux avantages, certains utilisateurs peuvent souhaiter le désactiver pour des raisons de sécurité ou à d'autres fins.

Pourquoi vous devriez désactiver l'API WordPress REST

Si vous êtes propriétaire d'un site Web WordPress, vous avez peut-être entendu parler de la fonctionnalité API REST qui permet aux développeurs d'accéder aux données du site et d'effectuer des actions à distance.

Bien que cette fonctionnalité puisse être utile, elle pose également des risques de sécurité, c'est pourquoi de nombreux utilisateurs choisissent de la désactiver. Voici quelques raisons pour lesquelles vous devriez envisager de le faire :

1. Accès non autorisé : L'API REST peut fournir un accès à des informations sensibles telles que les données utilisateur et les identifiants de connexion. Si votre site a des mesures d'authentification ou d'autorisation faibles, les pirates peuvent exploiter les vulnérabilités pour obtenir un accès non autorisé à votre site.

2. Attaques par force brute : lorsque l'API REST est activée, les attaquants peuvent utiliser des outils automatisés pour effectuer des requêtes répétées aux points de terminaison de l'API de votre site, en essayant de deviner des noms d'utilisateur et des mots de passe valides. Ce type d'attaque peut surcharger votre serveur et compromettre la sécurité de votre site.

3. Attaques DDoS : Les pirates peuvent également utiliser l'API REST pour lancer des attaques par déni de service distribué (DDoS) en submergeant le serveur de votre site avec un nombre excessif de requêtes.

Pour restreindre l'accès à l'API WordPress REST, vous pouvez soit utiliser des plugins, soit ajouter manuellement du code au fichier functions.php de votre site. En désactivant l'API REST, vous pouvez améliorer la sécurité de votre site et vous protéger contre les attaques potentielles.

En conclusion, bien que l'API WordPress REST puisse être un outil utile pour les développeurs, il est important de peser les avantages par rapport aux risques de sécurité. En prenant des mesures pour restreindre l'accès à l'API REST, vous pouvez protéger votre site contre les menaces potentielles et assurer la sécurité de vos données.

Comment désactiver l'API WordPress Rest [2 méthodes]

Si vous souhaitez désactiver l'API WordPress REST pour améliorer la sécurité et la confidentialité de votre site Web, deux méthodes sont disponibles. La première méthode consiste à utiliser un plugin, et la seconde méthode nécessite de modifier le code de votre site Web.

Les deux méthodes sont faciles à suivre. En limitant l'accès à l'API WordPress REST, vous pouvez protéger votre site Web contre les menaces de sécurité potentielles.

Méthode 1 : Utiliser un plugin

Si vous êtes préoccupé par la sécurité de votre site Web WordPress, la désactivation de l'API REST peut être une mesure efficace. Heureusement, il est relativement simple d'accomplir cette tâche en utilisant des plugins.

Dans cette section, nous vous aiderons à utiliser le plug-in Disable WP REST API pour désactiver l'API REST sur votre site Web.

Tout ce que vous avez à faire est d'installer et d'activer le plugin Disable WP REST API depuis Plugins → Add New .

C'est ça! Une fois activé, le plugin bloquera automatiquement toutes les requêtes à l'API REST sur votre site pour les utilisateurs déconnectés.

L'utilisation d'un plugin dans WordPress pour l'accès à la restriction de l'API Rest est un moyen simple et efficace de désactiver l'API REST sur votre site WordPress.

Vous pouvez vérifier si l'API REST est réellement désactivée sur votre site Web à partir de ce lien : yourwebsite.com/wp-json

Si cette URL affiche une erreur 401 comme celle-ci, cela signifie que l'API REST est désactivée :

Méthode 2 : désactiver l'API WordPress Rest sans plugin

Dans cette section, nous aborderons la méthode pour désactiver l'API WordPress Rest sans utiliser de plugin. C'est un moyen efficace de sécuriser votre site Web et d'empêcher l'accès non autorisé aux données sensibles.

Suivez ces étapes pour désactiver WordPress Rest API sans plugin :

ÉTAPE 1 : Accédez à Apparence → Éditeur de fichiers de thème .

ÉTAPE 2 : Ouvrez le fichier functions.php et collez le code suivant dans le fichier :

 /** Disable REST API **/ // Filters for WP-API version 1.x add_filter('json_enabled', '__return_false'); add_filter('json_jsonp_enabled', '__return_false'); // Filters for WP-API version 2.x // add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false'); 

Ce code bloque les demandes d'API REST non authentifiées provenant d'utilisateurs non connectés, désactivant ainsi l'API pour eux. Ce code désactive également wp-json/wp/v2/users connu sous le nom d'API WP version 2.x.

ÉTAPE 3 : Enregistrez et testez vos modifications

Si tout fonctionne correctement, vous devriez recevoir un message d'erreur 401 non autorisé lorsque vous accédez au point de terminaison en tant qu'utilisateur non connecté.

Méthode 3 : Restreindre l'accès à l'API WordPress Rest

Dans cette section, nous verrons comment restreindre l'accès à l'API WordPress Rest, ce qui peut aider à améliorer la sécurité de votre site Web.

En limitant l'accès, vous pouvez empêcher les demandes non autorisées d'accéder aux données de votre site via l'API.

Si vous ajoutez la vérification is_user_logged_in au filtre rest_authentication_errors , vous pourrez exiger une authentification pour tous les appels d'API REST effectués.

Voici comment vous pouvez le faire en quelques étapes simples :

ÉTAPE 1 : Accédez au fichier functions.php .

ÉTAPE 2 : collez le code suivant dans le fichier :

 add_filter( 'rest_authentication_errors', function( $result ) { // If a previous authentication check was applied, // pass that result along without modification. if ( true === $result || is_wp_error( $result ) ) { return $result; } // No authentication has been performed yet. // Return an error if user is not logged in. if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', __( 'You are not currently logged in.' ), array( 'status' => 401 ) ); } // Our custom authentication check should have no effect // on logged-in requests return $result; }); 

Veuillez noter que le paramètre de rappel entrant peut afficher soit WP_Error , soit une valeur boolean . Le type du paramètre indique l'état du processus d'authentification.

1. null : l'authentification n'a pas encore été vérifiée et le rappel de hook peut appliquer une authentification personnalisée.

2. boolean : La méthode d'authentification a été vérifiée précédemment. Une valeur true indique une authentification réussie, tandis qu'une valeur false indique un échec d'authentification.

3. WP_Error : une erreur s'est produite.

ÉTAPE 3 : Vérifiez votre site Web pour vous assurer qu'il fonctionne correctement.

C'est ça! Avec ces étapes simples, vous avez restreint l'accès à l'API WordPress Rest, ce qui rend votre site Web plus sécurisé.

Remarque importante : Cette méthode peut affecter certains plugins ou thèmes qui reposent sur l'API Rest, alors assurez-vous de tester soigneusement votre site Web après avoir effectué cette modification.

FAQ

Conclusion

Nous avons discuté de l'importance de désactiver l'API Rest dans WordPress pour améliorer la sécurité et la confidentialité du site Web. Nous avons passé en revue le processus étape par étape de désactivation de l'API Rest via différentes méthodes. En suivant ces méthodes, vous pouvez facilement sécuriser votre site Web contre les menaces potentielles.

Nous vous remercions d'avoir pris le temps de lire cet article et espérons qu'il vous a été utile. Si vous avez des questions ou rencontrez des problèmes en suivant les étapes mentionnées dans cet article, n'hésitez pas à nous les poser dans la section des commentaires ci-dessous. Notre équipe est toujours là pour vous aider.

Pour rester au courant des derniers tutoriels et actualités WordPress, assurez-vous de suivre BetterStudio sur Facebook et Twitter. Notre équipe partage régulièrement des trucs et astuces utiles pour aider les propriétaires de sites Web à optimiser leur présence en ligne.