Come disabilitare l'API REST su WordPress
Pubblicato: 2023-05-28Vuoi disabilitare l'API Rest ma non sai come fare? Non preoccuparti; ti abbiamo coperto.
In questo articolo spiegheremo come disabilitare l'API Rest in WordPress e perché è un passaggio essenziale per la sicurezza del tuo sito web.
Sapevi che Rest API è uno dei modi più comuni utilizzati dagli hacker per ottenere l'accesso non autorizzato a un sito Web?
Secondo Sucuri, una delle principali società di sicurezza dei siti Web, il 73% dei siti Web WordPress compromessi nel 2020 era dovuto a plug-in e temi vulnerabili, con Rest API come una delle principali vulnerabilità.
Se ti stai chiedendo cos'è l'API Rest e perché disabilitarla è fondamentale per la sicurezza del tuo sito web, continua a leggere.
In questo articolo, forniremo una guida passo passo su come disabilitare l'API Rest in WordPress e spiegheremo perché farlo può impedire agli hacker di sfruttare le vulnerabilità del tuo sito web.
Cos'è l'API Rest di WordPress?
WordPress Rest API è un'interfaccia che consente agli sviluppatori di creare applicazioni web e mobili utilizzando i dati della piattaforma WordPress.
Consente il recupero, l'aggiornamento e l'eliminazione di contenuti da posizioni remote generando richieste HTTP. Sebbene offra numerosi vantaggi, alcuni utenti potrebbero voler disabilitarlo per motivi di sicurezza o per altri scopi.
Perché dovresti disabilitare l'API REST di WordPress
Se sei il proprietario di un sito Web WordPress, potresti aver sentito parlare della funzione API REST che consente agli sviluppatori di accedere ai dati del sito ed eseguire azioni da remoto.
Sebbene questa funzione possa essere utile, pone anche alcuni rischi per la sicurezza, motivo per cui molti utenti scelgono di disabilitarla. Ecco alcuni motivi per cui dovresti considerare di farlo:
1. Accesso non autorizzato: l'API REST può fornire l'accesso a informazioni riservate come dati utente e credenziali di accesso. Se il tuo sito ha misure di autenticazione o autorizzazione deboli, gli hacker possono sfruttare le vulnerabilità per ottenere l'accesso non autorizzato al tuo sito.
2. Attacchi di forza bruta: con l'API REST abilitata, gli aggressori possono utilizzare strumenti automatizzati per effettuare richieste ripetute agli endpoint API del tuo sito, tentando di indovinare nomi utente e password validi. Questo tipo di attacco può sovraccaricare il tuo server e compromettere la sicurezza del tuo sito.
3. Attacchi DDoS: gli hacker possono anche utilizzare l'API REST per lanciare attacchi DDoS (Distributed Denial-of-Service) sovraccaricando il server del tuo sito con un numero eccessivo di richieste.
Per limitare l'accesso all'API REST di WordPress, puoi utilizzare i plug-in o aggiungere manualmente il codice al file functions.php del tuo sito. Disabilitando l'API REST, puoi migliorare la sicurezza del tuo sito e proteggerti da potenziali attacchi.
In conclusione, mentre l'API REST di WordPress può essere uno strumento utile per gli sviluppatori, è importante soppesare i vantaggi rispetto ai rischi per la sicurezza. Adottando misure per limitare l'accesso all'API REST, puoi salvaguardare il tuo sito da potenziali minacce e proteggere i tuoi dati.
Come disabilitare l'API Rest di WordPress [2 metodi]
Se desideri disabilitare l'API REST di WordPress per migliorare la sicurezza e la privacy del tuo sito Web, sono disponibili due metodi. Il primo metodo prevede l'utilizzo di un plug-in e il secondo metodo richiede la modifica del codice del tuo sito web.
Entrambi i metodi sono facili da seguire. Limitando l'accesso all'API REST di WordPress, puoi proteggere il tuo sito Web da potenziali minacce alla sicurezza.
Metodo 1: utilizzare un plug-in
Se sei preoccupato per la sicurezza del tuo sito Web WordPress, disabilitare l'API REST può essere una misura efficace. Fortunatamente, è relativamente semplice eseguire questa operazione utilizzando i plug-in.
In questa sezione, ti aiuteremo a utilizzare il plug-in Disable WP REST API per disabilitare l'API REST sul tuo sito web.
Tutto quello che devi fare è installare e attivare il plug-in Disable WP REST API da Plugins → Add New .
Questo è tutto! Una volta attivato, il plug-in bloccherà automaticamente tutte le richieste all'API REST sul tuo sito per gli utenti disconnessi.
L'utilizzo di un plug-in in WordPress per la restrizione dell'accesso all'API Rest è un modo semplice ed efficace per disabilitare l'API REST sul tuo sito WordPress.
Puoi verificare se l'API REST è effettivamente disabilitata sul tuo sito web da questo link: yourwebsite.com/wp-json
Se questo URL mostra un errore 401 come questo, significa che l'API REST è disabilitata:
Metodo 2: disabilitare l'API Rest di WordPress senza plug-in
In questa sezione, tratteremo il metodo per disabilitare l'API Rest di WordPress senza utilizzare un plug-in. Questo è un modo efficace per proteggere il tuo sito Web e impedire l'accesso non autorizzato a dati sensibili.
Segui questi passaggi per disabilitare l'API Rest di WordPress senza un plug-in:
PASSAGGIO 1: Vai su Aspetto → Editor file tema .
PASSO 2: Apri il file functions.php e incolla il seguente codice nel file:
/** Disable REST API **/ // Filters for WP-API version 1.x add_filter('json_enabled', '__return_false'); add_filter('json_jsonp_enabled', '__return_false'); // Filters for WP-API version 2.x // add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false'); 
Questo codice blocca le richieste API REST non autenticate da utenti che non hanno effettuato l'accesso, disabilitando di fatto l'API per loro. Questo codice disabilita anche wp-json/wp/v2/users noto come API WP versione 2.x.
PASSAGGIO 3: Salva e verifica le modifiche
Se tutto funziona correttamente, dovresti ricevere un messaggio di errore 401 Unauthorized quando accedi all'endpoint come utente non connesso.
Metodo 3: limitare l'accesso all'API Rest di WordPress
In questa sezione, discuteremo su come limitare l'accesso all'API Rest di WordPress, che può aiutare a migliorare la sicurezza del tuo sito web.
Limitando l'accesso, puoi impedire a richieste non autorizzate di accedere ai dati del tuo sito tramite l'API.
Se aggiungi il controllo is_user_logged_in al filtro rest_authentication_errors , sarai in grado di richiedere l'autenticazione per tutte le chiamate API REST effettuate.
Ecco come puoi farlo in pochi semplici passi:
PASSO 1: Accedi al file functions.php .
PASSAGGIO 2: incollare il seguente codice nel file:
add_filter( 'rest_authentication_errors', function( $result ) { // If a previous authentication check was applied, // pass that result along without modification. if ( true === $result || is_wp_error( $result ) ) { return $result; } // No authentication has been performed yet. // Return an error if user is not logged in. if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', __( 'You are not currently logged in.' ), array( 'status' => 401 ) ); } // Our custom authentication check should have no effect // on logged-in requests return $result; }); 
Tieni presente che il parametro di callback in entrata può mostrare WP_Error o un valore boolean . Il tipo del parametro indica lo stato del processo di autenticazione.
1. null: l'autenticazione non è stata ancora verificata e il callback dell'hook può applicare l'autenticazione personalizzata.
2. booleano: il metodo di autenticazione è stato controllato in precedenza. Un valore vero indica un'autenticazione riuscita, mentre un valore falso indica un'autenticazione non riuscita.
3. WP_Error: si è verificato un errore.
PASSO 3: Controlla il tuo sito web per assicurarti che funzioni correttamente.
Questo è tutto! Con questi semplici passaggi, hai limitato l'accesso all'API Rest di WordPress, rendendo il tuo sito Web più sicuro.
Nota importante: questo metodo può influire su alcuni plug-in o temi che si basano sull'API Rest, quindi assicurati di testare accuratamente il tuo sito Web dopo aver apportato questa modifica.
FAQ
La disabilitazione dell'API Rest può contribuire a migliorare la sicurezza del tuo sito Web impedendo l'accesso non autorizzato ai dati e alle funzionalità del tuo sito tramite le richieste API Rest.
Esistono diversi modi per disabilitare l'API Rest in WordPress, ma il metodo più semplice è utilizzare un plug-in come Disable WP REST API, che consente di disabilitare facilmente l'API Rest senza alcuna codifica.
La disabilitazione dell'API Rest può influire sulla funzionalità di alcuni plug-in o temi che si basano sulle richieste dell'API Rest per funzionare correttamente. Tuttavia, la maggior parte dei plugin e dei temi dovrebbe continuare a funzionare normalmente.
Conclusione
Abbiamo discusso dell'importanza di disabilitare l'API Rest in WordPress per migliorare la sicurezza e la privacy del sito web. Abbiamo esaminato passo dopo passo il processo di disabilitazione dell'API Rest attraverso vari metodi. Seguendo questi metodi, puoi facilmente proteggere il tuo sito Web da potenziali minacce.
Ti ringraziamo per aver dedicato del tempo alla lettura di questo articolo e speriamo che ti sia stato utile. Se hai domande o hai riscontrato problemi mentre segui i passaggi menzionati in questo articolo, non esitare a chiedercelo nella sezione commenti qui sotto. Il nostro team è sempre qui per aiutarti.
Per rimanere aggiornato con gli ultimi tutorial e novità di WordPress, assicurati di seguire BetterStudio su Facebook e Twitter. Il nostro team condivide regolarmente suggerimenti e trucchi utili per aiutare i proprietari di siti Web a ottimizzare la loro presenza online.