Geschäftsführer, Webdesigner & Web-Entwickler, staatlich geprüfter Mediengestalter
WordPress besitzt ab Werk eine REST API. Was das ist und wie man die Schnittstelle zur Optimierung der Sicherheit deaktivieren kann, haben wir in diesem Artikel heruntergeschrieben.
Inhaltsverzeichnis
Der Begriff REST steht für REpresentational State Transfer, API für Application Programming Interface. Einfach gesagt, handelt es sich dabei um eine Schnittstelle die zum Austausch von Informationen eingesetzt wird, die sich auf unterschiedlichen Systemen befinden. Eine REST API ist keineswegs eine „Erfindung“ aus dem Hause WordPress — vielmehr sind diese Schnittstellen überall im Internet zu finden bzw. im Einsatz. Seit 2015 ist eine REST API auch Teil des Funktionsumfangs von WordPress. Zuvor gab es die Schnittstelle lediglich als Plugin zum Nachrüsten. Mittels einer REST API können Informationen zwischen Systemen aufgeteilt und/oder abgefragt werden — und das ganz einfach per HTTP Request. Die Anwendungsszenarien einer solchen API sind somit äußerst vielfältig.
Die REST-API ist bei WordPress unter der URL beispiel-webseite.xyz/wp-json/ erreichbar.
Zusätzliche Schnittstellen öffnen ein System in gewisser Weise und machen es damit gläsern — indirekt auch weniger sicher. Die REST API stellt hier leider keine Ausnahme dar. Wie dem Beispiel oben zu entnehmen ist, können mittels REST API beispielsweise die Benutzer einer WordPress-Installation abgefragt werden.
Wer sich einmal mit dem Thema WordPress Sicherheit beschäftigt hat, wird möglicherweise darauf geachtet haben, dass es keinen Standard-Benutzer namens „admin“ gibt, um mögliche Brute-Force-Attacken einzudämmen. Mit der REST API können alle erstellten Benutzer einer WordPress Installation kinderleicht abgefragt werden. Indirekt also ein Sicherheitsproblem, wenngleich man hier nicht den Teufel an die Wand malen sollte.
Wird die REST API nicht benötigt, kann man die Schnittstelle also getrost deaktivieren. Allerdings emfehlen wir nicht die vollständige Abschaltung, sondern lediglich eine Abschaltung der API für externe Zugriffe. Andernfalls kann es auch zu funktionalen Einschränkungen von z.B. Puglins kommen. Mittels Zugriffsschutz kann die REST API weiterhin aktiv bleiben und steht somit für nützliche Funktionen zur Verfügung.
Mittels dem nachstehenden Code-Snippet kann die REST-API mit einem Zugriffsschutz versehen werden. Konkret wird die API vollständig deaktiviert und kann nur aufgerufen werden, wenn man im WordPress-Backend angemeldet ist. Etwaige Backend-Funktionen, die in Abhängigkeit mit der REST-API stehen, dürften somit einwandfrei funktionieren. Der Code-Snippet muss in der functions.php-File des gegenwärtig verwendeten Themes integriert werden. Alternativ kann man den Code natürlich in ein eigenes, kleines Plugin auslagern.
Das kostenlose Plugin „Disable REST API“ deaktiviert die REST API von WordPress im Handumdrehen. Einfach das Plugin über das offizielle Plugin-Verzeichnis installieren — fertig. Ein wesentlicher Vorteil des Plugins ist, dass es eine über das Backend pflegbare Whitelist gibt. Sollte es bei der Abschaltung Probleme mit Funktionen der Webseite geben, können entsprechende Endpunkte der REST API wieder freigegeben werden.
Spannende Artikel und Infos zum Thema
Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.
Das Content-Management-System WordPress basiert auf PHP, einer der gängigsten Programmiersprachen im Web. Ohne PHP funktioniert WordPress nicht. Umso wichtiger ist es somit, dass nicht...
mehr lesen
Die Sprache einer Website wird vielfach durch HTML-Tags übermittelt. Diese werden als HTML Sprachcodes bezeichnet und bestehen aus zwei Kleinbuchstaben. Festgelegt werden die HTML...
mehr lesen
Das WordPress Command Line Interface (kurz WP-CLI) bietet für alle, die mit dem Content Management System (CMS) WordPress arbeiten, einige Funktionen und kann dazu...
mehr lesen
Pagebuilder Plugin für WordPress funktionieren nach einem einfachen und zudem komfortablen Prinzip. Kinderleicht kann man damit eine Webseite aufbauen – oft sogar per Drag...
mehr lesen
Was ist das DNS? DNS ist die Abkürzung für den Begriff Domain Name System. Das DNS kann als das Telefonbuch…
Was ist? Black Hat SEO Die Begrifflichkeit Black Hat SEO leitet sich aus der Hacker-Szene ab. Dort wurden Hacker mit…
Was ist ein Headless CMS? Bei einem Headless CMS handelt es sich gleichermaßen um eine Vereinfachung eines Content-Management-Systems und um…
Nice, vielen Dank für die Anleitung