L’API REST di WordPress è uno strumento potente che consente agli sviluppatori di integrare WordPress con applicazioni web di terze parti, ma si può anche disattivare. Possono farlo in remoto, senza dover accedere al sito web. Sebbene sia molto utile, può anche rendere il tuo sito suscettibile agli attacchi.
Ad esempio, gli hacker potrebbero essere in grado di accedere ai tuoi dati tramite l’API REST. Di default, l’interfaccia rende i nomi utente pubblicamente visibili, il che può portare ad attacchi di forza bruta. Questo è quando gli hacker tentano di accedere al tuo sito utilizzando diverse combinazioni di password e nomi utente.
L’API REST può anche rendere il tuo sito vulnerabile agli attacchi Distributed Denial-of-Service (DDOS). Questo è quando attori malintenzionati tentano di rendere il tuo sito non disponibile sovraccaricandolo con traffico falso. Anche se stai prendendo le precauzioni necessarie per mantenere il tuo sito sicuro, questo strumento può essere pesante in termini di risorse e rallentare il tuo sito. Pertanto, se non ne hai un vero utilizzo, potresti voler disabilitare l’API REST di WordPress.
Come disattivare l’API REST in WordPress (2 metodi)
Prima di procedere, potresti voler eseguire un backup del tuo sito. In questo modo, se accidentalmente rompi il tuo sito quando disabiliti l’API REST, puoi facilmente ripristinare una copia. In alternativa, potresti prima provare su un sito di staging, quindi pubblicare le modifiche dal vivo.
1. Utilizzo di un plugin
Il modo più semplice per disabilitare l’API REST di WordPress è con un plugin come Disable REST API. Questo strumento disabiliterà automaticamente questa funzionalità all’attivazione. Tuttavia, ti consente anche di concedere l’accesso ad alcuni endpoint e consentire a particolari utenti sul tuo sito di utilizzare l’API REST.
Tieni presente che questo plugin non viene aggiornato da molto tempo e potrebbe causare problemi di compatibilità con altri plugin sul tuo sito. Pertanto, vorrai prima testarlo sul tuo sito di staging.
Puoi andare avanti e installare il plugin sul tuo sito. Una volta premuto Attiva, l’API REST sarà automaticamente inaccessibile agli utenti generali sul tuo sito.
Se desideri consentire l’accesso solo a utenti o endpoint particolari, puoi accedere a Impostazioni > Disabilita API REST:
Dal menu a tendina, puoi selezionare il ruolo utente che avrà accesso all’API REST. Quindi, puoi scegliere di concedere loro l’accesso completo o consentire loro l’accesso solo a determinati endpoint:
Se selezioni Gestisci l’accesso all’API REST, otterrai un elenco di tutti gli endpoint sul tuo sito. Utilizzando l’interruttore, puoi selezionare a quali endpoint l’utente avrà accesso. Quando sei pronto, fai clic su Salva modifiche.
2. Utilizzo di uno snippet di codice
Puoi anche disabilitare l’API REST di WordPress aggiungendo manualmente il codice per farlo al tuo sito. Sebbene possa sembrare un po’ difficile, in realtà è un processo semplice, soprattutto se si utilizza un plugin come Code Snippets per inserire il codice.
Code Snippets ti dà la possibilità di migliorare senza sforzi il tuo sito WordPress
Se hai già questo plugin sul tuo sito, ha più senso utilizzare lo stesso strumento per disabilitare l’API REST, piuttosto che installare un altro plugin. Potresti anche optare per questo plugin se desideri avere un maggiore controllo sul codice che aggiungi al tuo sito.
Una volta che hai impostato Code Snippets sul tuo sito, vai a Snippet > Aggiungi nuovo:
Assegna un nome allo snippet “Disabilita API REST” e incolla il seguente codice nella casella fornita:
add_filter( ‘rest_authentication_errors’, ‘disable_rest_api’ );
function disable_rest_api( $access ) {
return new WP_Error( ‘rest_disabled’, __(‘The WordPress REST API has been disabled.’), array( ‘status’ => rest_authorization_required_code()));
}
Assicurati di selezionare Esegui lo snippet ovunque. Quindi, scorri verso il basso e fai clic su Salva modifiche e attiva. Questo disabiliterà l’API REST di WordPress sul tuo sito.
L’API REST di WordPress ti consente di connettere il tuo sito con applicazioni di terze parti. Tuttavia, questa funzionalità può anche rendere il tuo sito vulnerabile ad attacchi di forza bruta e ad altre minacce alla sicurezza. Pertanto, se non ne hai bisogno, potresti anche disabilitarlo.
Riassumendo, ecco come disabilitare l’API REST di WordPress:
- Utilizzare un plugin come Disable REST API per disabilitarlo automaticamente.
- Aggiungere un pezzo di codice manualmente tramite il plugin Code Snippets.
Proteggere il proprio sito WordPress? Wordfence Security Firewall
- Configurazione di Più Versioni PHP in Virtualmin
- Come Installare Virtualmin su Ubuntu e Installare WordPress
- Come Installare aaPanel su una VPS Ubuntu
- Server Dedicati vs. VPS: Quale Soluzione di Hosting è Giusta per Te?
- Tornare alla Vecchia Versione di WordPress: Guida Completa al Downgrade WordPress
