Désactiver WordPress REST API
Désactiver WordPress REST API est la chose à faire pour éviter les problèmes de sécurité à venir sur WordPress > 4.6. En effet les dernières failles WordPress concernent cette API ouverte.
WordPress a choisi de mettre en ligne sa WP REST API et son protocole XML RPC depuis la version 3.5. Ils servent à des applications de communiquer avec votre site internet WordPress, le célèbre plugin JetPack s’en sert.
Certaines thèmes (récents) s’en servent aussi. Alors une fois l’API REST de WordPress désactivée, pensez à vérifiez que votre site est bien fonctionnel !
Pourquoi autoriser la WP REST API est dangereux ?
Dans les architecture logiciel actuelles (c’est la mode), les développeurs codent avec un côté front (ce que l’utilisateur voit) et un côté back (ce avec quoi l’utilisateur interagi (base de données, articles…)). Une API REST sert justement à cette architecture, on propose au front une interface pour communiquer avec le back.
Jus-qu’il y a quelques années on utilisait tout sur le même projet pour les projets web, cette nouvelle approche apporte une grande flexibilité, mais un peu moins de sécurité…
Désactiver WP REST API sur son site internet WordPress
Un simple plugin pour désactiver l’API WordPress
Si vous ne souhaitez désactiver que l’API REST de WordPress, cette option est toute trouvée pour vous.
https://fr.wordpress.org/plugins/disable-json-api/
Attention, car ce plugin ne désactive que le REST API WP pour les utilisateurs anonymes, si un bot s’est inscrit sur votre site internet les failles seront toujours exploitables.
SecuPress, désactiver l’API REST de WordPress
SecuPress est un très bon plugin de sécurité dont nous avions parlés dans notre article “Les meilleurs plugins gratuits de WordPress en 2017“.
Dans SecuPress > Modules > Données sensibles, cochez les deux cases :
- Désactiver toutes les fonctionnalités de XMP-RPC
- Désactiver les fonctionnalités de l’API REST
https://fr.wordpress.org/plugins/secupress/