Die WordPress REST API ist eine eingebaute Schnittstelle, die es externen Anwendungen und Diensten ermöglicht, über Standard-HTTP-Anfragen und JSON-Daten mit deiner WordPress-Seite zu interagieren. Sie wurde in WordPress 4.7 eingeführt und bietet Endpunkte für Beiträge, Seiten, Benutzer, Kommentare und mehr.
Wie sie funktioniert
Die REST API ist unter /wp-json/wp/v2/ erreichbar. Zum Beispiel:
/wp-json/wp/v2/posts— Listet alle veröffentlichten Beiträge/wp-json/wp/v2/users— Listet Benutzer (kann Benutzernamen offenlegen)/wp-json/wp/v2/pages— Listet alle Seiten
Sicherheitsbedenken
Obwohl die REST API für viele Plugins (wie Gutenberg) essenziell ist, kann die Standardkonfiguration sensible Daten offenlegen:
- Benutzer-Enumeration — Der
/wp/v2/users-Endpunkt kann Benutzernamen verraten, die Angreifer für Brute-Force-Angriffe nutzen können. - Inhalts-Offenlegung — Entwürfe oder private Beiträge könnten über bestimmte Endpunkte zugänglich sein.
- Informationspreisgabe — Die API verrät deine WordPress-Version, installierte Plugins (über ihre Routen) und die Seitenstruktur.
Empfehlungen
Du musst die REST API nicht komplett deaktivieren (das würde Gutenberg und viele Plugins kaputt machen), aber du solltest:
- Den
/wp/v2/users-Endpunkt auf authentifizierte Anfragen beschränken - Unnötige API-Endpunkte entfernen
- Authentifizierung für sensible Operationen verwenden
Was InspectWP prüft
InspectWP prüft, ob die REST API öffentlich zugänglich ist und ob sensible Endpunkte wie die Benutzer-Enumeration offenliegen. Es erkennt auch die REST-API-URL aus dem HTML-Head-Link-Tag.