WordPress : Désactiver WP REST API (faille de sécurité)

Désactiver WordPress REST API
WP-JSON, l’API REST pour WordPress

Désactiver WordPress REST API

Désactiver WordPress REST API est la chose à faire pour éviter les problèmes de sécurité à venir sur WordPress > 4.6. En effet les dernières failles WordPress concernent cette API ouverte.

WordPress a choisi de mettre en ligne sa WP REST API et son protocole XML RPC depuis la version 3.5. Ils servent à des applications de communiquer avec votre site internet WordPress, le célèbre plugin JetPack s’en sert.

Certaines thèmes (récents) s’en servent aussi. Alors une fois l’API REST de WordPress désactivée, pensez à vérifiez que votre site est bien fonctionnel !

Pourquoi autoriser la WP REST API est dangereux ?

Dans les architecture logiciel actuelles (c’est la mode), les développeurs codent avec un côté front (ce que l’utilisateur voit) et un côté back (ce avec quoi l’utilisateur interagi (base de données, articles…)). Une API REST sert justement à cette architecture, on propose au front une interface pour communiquer avec le back.

Jus-qu’il y a quelques années on utilisait tout sur le même projet pour les projets web, cette nouvelle approche apporte une grande flexibilité, mais un peu moins de sécurité…

Désactiver WP REST API sur son site internet WordPress

Un simple plugin pour désactiver l’API WordPress

Si vous ne souhaitez désactiver que l’API REST de WordPress, cette option est toute trouvée pour vous.

Désactiver WP REST API WordPress
Désactiver la REST API de WordPress pour les utilisateurs non enregistrés

https://fr.wordpress.org/plugins/disable-json-api/

Attention, car ce plugin ne désactive que le REST API WP pour les utilisateurs anonymes, si un bot s’est inscrit sur votre site internet les failles seront toujours exploitables.

SecuPress, désactiver l’API REST de WordPress

SecuPress est un très bon plugin de sécurité dont nous avions parlés dans notre article “Les meilleurs plugins gratuits de WordPress en 2017“.

Dans SecuPress > Modules > Données sensibles, cochez les deux cases :

  • Désactiver toutes les fonctionnalités de XMP-RPC
  • Désactiver les fonctionnalités de l’API REST
Désactiver WP REST API et XML RPC
Désactiver l’API REST de WordPress ainsi qu’XML-RPC

https://fr.wordpress.org/plugins/secupress/

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *