Geschäftsführer, Webdesigner & Web-Entwickler, staatlich geprüfter Mediengestalter
WordPress besitzt ab Werk eine REST API. Was das ist und wie man die Schnittstelle zur Optimierung der Sicherheit deaktivieren kann, haben wir in diesem Artikel heruntergeschrieben.
Inhaltsverzeichnis
Der Begriff REST steht für REpresentational State Transfer, API für Application Programming Interface. Einfach gesagt, handelt es sich dabei um eine Schnittstelle die zum Austausch von Informationen eingesetzt wird, die sich auf unterschiedlichen Systemen befinden. Eine REST API ist keineswegs eine „Erfindung“ aus dem Hause WordPress — vielmehr sind diese Schnittstellen überall im Internet zu finden bzw. im Einsatz. Seit 2015 ist eine REST API auch Teil des Funktionsumfangs von WordPress. Zuvor gab es die Schnittstelle lediglich als Plugin zum Nachrüsten. Mittels einer REST API können Informationen zwischen Systemen aufgeteilt und/oder abgefragt werden — und das ganz einfach per HTTP Request. Die Anwendungsszenarien einer solchen API sind somit äußerst vielfältig.
Die REST-API ist bei WordPress unter der URL beispiel-webseite.xyz/wp-json/ erreichbar.
Zusätzliche Schnittstellen öffnen ein System in gewisser Weise und machen es damit gläsern — indirekt auch weniger sicher. Die REST API stellt hier leider keine Ausnahme dar. Wie dem Beispiel oben zu entnehmen ist, können mittels REST API beispielsweise die Benutzer einer WordPress-Installation abgefragt werden.
Wer sich einmal mit dem Thema WordPress Sicherheit beschäftigt hat, wird möglicherweise darauf geachtet haben, dass es keinen Standard-Benutzer namens „admin“ gibt, um mögliche Brute-Force-Attacken einzudämmen. Mit der REST API können alle erstellten Benutzer einer WordPress Installation kinderleicht abgefragt werden. Indirekt also ein Sicherheitsproblem, wenngleich man hier nicht den Teufel an die Wand malen sollte.
Wird die REST API nicht benötigt, kann man die Schnittstelle also getrost deaktivieren. Allerdings emfehlen wir nicht die vollständige Abschaltung, sondern lediglich eine Abschaltung der API für externe Zugriffe. Andernfalls kann es auch zu funktionalen Einschränkungen von z.B. Puglins kommen. Mittels Zugriffsschutz kann die REST API weiterhin aktiv bleiben und steht somit für nützliche Funktionen zur Verfügung.
Mittels dem nachstehenden Code-Snippet kann die REST-API mit einem Zugriffsschutz versehen werden. Konkret wird die API vollständig deaktiviert und kann nur aufgerufen werden, wenn man im WordPress-Backend angemeldet ist. Etwaige Backend-Funktionen, die in Abhängigkeit mit der REST-API stehen, dürften somit einwandfrei funktionieren. Der Code-Snippet muss in der functions.php-File des gegenwärtig verwendeten Themes integriert werden. Alternativ kann man den Code natürlich in ein eigenes, kleines Plugin auslagern.
Das kostenlose Plugin „Disable REST API“ deaktiviert die REST API von WordPress im Handumdrehen. Einfach das Plugin über das offizielle Plugin-Verzeichnis installieren — fertig. Ein wesentlicher Vorteil des Plugins ist, dass es eine über das Backend pflegbare Whitelist gibt. Sollte es bei der Abschaltung Probleme mit Funktionen der Webseite geben, können entsprechende Endpunkte der REST API wieder freigegeben werden.
Spannende Artikel und Infos zum Thema
Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.
Wer eine Website bei HostEurope betreibt, kennt das Problem: Die Fehler-Logs im KIS (Kunden-Interface) sind oft leer oder enthalten nur spärliche Informationen. Das macht...
mehr lesen
Das Content-Management-System WordPress basiert auf PHP, einer der gängigsten Programmiersprachen im Web. Ohne PHP funktioniert WordPress nicht. Umso wichtiger ist es somit, dass nicht...
mehr lesen
Die Sprache einer Website wird vielfach durch HTML-Tags übermittelt. Diese werden als HTML Sprachcodes bezeichnet und bestehen aus zwei Kleinbuchstaben. Festgelegt werden die HTML...
mehr lesen
Das WordPress Command Line Interface (kurz WP-CLI) bietet für alle, die mit dem Content Management System (CMS) WordPress arbeiten, einige Funktionen und kann dazu...
mehr lesen
Was bedeutet Parallax Effekt? Im Webdesign ist die Bezeichnung Parallax Effekt geläufig. Sie bezeichnet hierbei die Positionierung mehrerer, zumeist gestalterischer…
Was ist ein Stylesheet? Als Stylesheet bezeichnet man eine Formatvorlage, mit deren Hilfe auf einer Website relativ schnell und simpel…
Was bedeutet Mockup? Als Mockup wird gemeinhin ein Prototyp bezeichnet. Dieser wird in aller Regel zu Testzwecken genutzt und bietet…
Nice, vielen Dank für die Anleitung