L’API REST de WordPress fournit des points d’extrémité pour les types de données WordPress. Cela permet aux développeurs d’interagir avec des sites à distance en envoyant et en recevant des objets JSON. Cependant, la plupart des propriétaires de sites web n’ont pas besoin de ces fonctionnalités, et il peut être plus intelligent de désactiver l’API WordPress JSON REST.

Personne ne peut nier les avantages que cette API apporte aux développeurs de WordPress. En termes simples, elle permet aux développeurs de récupérer très facilement des données à l’aide de requêtes GET. Cette fonctionnalité est très utile si vous créez des applications dans WordPress.

Cela étant dit, même si cela est utile pour les développeurs, la plupart des propriétaires de sites web n’en ont pas du tout besoin. En fait, cela pourrait même ouvrir votre site WordPress aux attaques DDoS. Il peut aussi être très gourmand en ressources et ralentir votre site.

Un site web lent n’est pas quelque chose que l’on souhaite, surtout après avoir pris tant de mesures pour l’accélérer et le maintenir optimisé.

Voyons ce qu’est l’API REST de WordPress et je vous montrerai ensuite comment vous pouvez facilement la désactiver en utilisant un solide plugin d’API WordPress.

Qu’est-ce que l’API de WordPress Rest ?

Le langage utilisé est en fait compliqué. Cela étant dit, aussi simplement que je puisse le dire, l’API WordPress Rest est une fonctionnalité de WordPress orientée vers les développeurs.

Il permet l’accès aux données du contenu de votre site et met en œuvre les mêmes restrictions d’authentification. Vous voyez, le contenu qui est public sur votre site est généralement accessible au public via l’API REST.

Toutefois, d’autres types de contenus, comme les contenus privés, ne sont disponibles qu’avec une authentification ou si vous le définissez spécifiquement. Ce type de contenu privé comprend :

  • Contenu privé
  • Contenu protégé par mot de passe
  • Utilisateurs internes
  • Types de poste sur mesure
  • Métadonnées
En relation  Comment exclure des articles ou des pages de la recherche d'un site WordPress ?

Donc, si vous n’êtes pas un développeur, pensez plutôt à ceci. L’API permet d’utiliser l’éditeur de blocs et les interfaces de plugins modernes sans compromettre la sécurité ou la confidentialité de votre site.

Pourquoi vous devriez désactiver l’API REST pour JSON dans WordPress

Bien que l’API REST de WordPress soit plutôt géniale, il y a un énorme problème qui ressort. Par défaut, elle laisse les noms d’utilisateur de toutes les personnes qui ont publié du contenu sur votre site web accessibles au public.

Vous ne souhaitez peut-être pas que ce type d’information soit facilement visible. Pourquoi ? Le principal problème est que les pirates informatiques commencent à deviner les mots de passe de tous les noms d’utilisateurs de votre site WordPress.

C’est ce qu’on appelle une attaque par la force brute.

En général, vos utilisateurs utiliseront des mots de passe sécurisés et n’accéderont pas au site web via un réseau non sécurisé. Cependant, il y a sans doute toujours un utilisateur quelque part qui utilise “admin” comme nom d’utilisateur et “admin1111” comme mot de passe.

Vous ne voulez probablement pas que même les noms d’utilisateur sécurisés soient facilement accessibles.

Vous pouvez désactiver l’API WP-JSON REST en utilisant du code et en l’ajoutant dans le fichier functions.php de votre site WordPress. Cependant, nous allons passer en revue une manière beaucoup plus simple de désactiver l’API JSON REST en utilisant un excellent plugin.

Examinons ensemble le plugin que nous allons utiliser pour désactiver WP-JSON, puis nous l’installerons et nous nous assurerons qu’il fonctionne correctement.

Le processus est similaire à l’activation ou à la désactivation de XMLRPC.PHP dans WordPress, que de nombreux administrateurs de sites désactivent dans WordPress juste pour être sûrs.

Désactiver l’API REST

Le plugin Désactiver l’API REST est le plugin le plus complet et le plus complet disponible pour contrôler les points d’accès à l’API REST de WordPress. Le plugin est léger et très facile à utiliser.

En relation  Comment installer et configurer Google XML Sitemaps pour WordPress ?

Il s’agit d’un plugin de type “set it and forget it”, car les seuls paramètres disponibles sont les cases à cocher situées à côté des éléments de votre site web. Lors de l’activation, le plugin garantit automatiquement que l’API REST est entièrement protégée contre les utilisateurs non authentifiés.

Vous pouvez utiliser la page principale des paramètres pour spécifier quels terminaux doivent être autorisés à se comporter normalement en cochant simplement les cases que vous souhaitez.

Voyons comment installer et activer le plugin.

Installer et activer le plugin

Avant de pouvoir désactiver avec succès l’API JSON REST, vous devez d’abord installer et activer le plugin. Vous pouvez le faire à partir du tableau de bord d’administration WordPress de votre site web. Il vous suffit d’aller sur la page des plugins et de faire une recherche par nom.

Une fois le plugin installé et activé, cliquez sur Paramètres Désactiver l’API REST pour vous rendre sur la page principale des paramètres du plugin.

Vous le verrez dans la partie gauche du menu de votre tableau de bord administratif.

Examinons ensemble la configuration du plugin et voyons ce qu’il faut faire pour qu’il fonctionne correctement.

Désactivation de l’API JSON REST dans WordPress

À ce stade, vous devriez vous trouver sur la page principale des paramètres du plugin Désactiver l’API REST. Vous pouvez voir que c’est tout ce qu’il y a à faire. Vous avez activé le plugin, donc par défaut, il fonctionne automatiquement et protège l’ensemble de l’API REST contre les utilisateurs non authentifiés.

Cela étant dit, vous aurez souvent des plugins, des services et des applications fonctionnant sur votre site qui utilisent la fonction API REST. C’est pour cette raison que vous ne voudrez peut-être pas tout désactiver.

En utilisant la disposition des cases à cocher qui se trouve sur la page des paramètres, vous pouvez choisir les applications, les outils et les plugins que vous souhaitez utiliser avec l’API REST.

En relation  Comment réparer un site infecté par le WP-VCD

Le nombre de cases à cocher disponibles et le montant seront directement liés à tout ce que vous exécutez sur votre site WordPress. Ainsi, plus vous en avez, plus la liste sera longue.

Lorsque vous avez terminé, cliquez sur le bouton “Enregistrer” pour vous assurer que toutes vos sélections sont prises en compte.

C’est tout ! Vous exécutez maintenant le plugin configuré comme vous le souhaitez et avez réussi à désactiver l’API REST pour JSON dans WordPress.

Dernières réflexions

Il est souvent difficile de trouver un juste équilibre entre les fonctionnalités que vous souhaitez et la sécurité dont vous avez besoin. Chaque site web est différent, et ils ont des besoins et des configurations différents. Il est bon d’évaluer les besoins particuliers de votre site web. Cela vous aidera à décider si vous voulez ou non désactiver l’API JSON REST sur votre site web.

Il n’y a pas de mal non plus à faire un audit de sécurité. Il existe de nombreuses façons de procéder, mais dans l’ensemble, la sécurité du site WordPress est toujours importante. Assurez-vous que vous avez fait tout ce qu’il faut pour que votre site web soit sécurisé et protégé de toutes les manières possibles. Cela signifie que vous devez ajouter un SSL et travailler à partir de là.

Si vous n’êtes pas sûr de la marche à suivre, vous devez contacter le développeur de votre site web et lui demander. Vous pouvez également consulter les plugins qui utilisent l’API REST de WordPress. Cela peut vous aider à prendre une meilleure décision puisque vous pouvez choisir ce que vous voulez désactiver grâce au plugin que nous avons utilisé dans ce tutoriel.

Avez-vous réussi à aborder cette question sans votre développeur de site web ? Avez-vous trouvé que le plugin était facile à installer et à utiliser immédiatement ?