Cómo deshabilitar el API REST de WordPress

El API Rest de WordPress es una herramienta que utilizan los programadores para interactuar remotamente con WordPress.

El uso principal del API es hablar remotamente con WordPress utilizando cualquier lenguaje de programación como Java, Python,… Internamente, la utilizan algunos plugins ( no muchos ) para comunicarse con WordPress y herramientas para gestionar remotamente WordPress como wp-cli.

¿Por qúe deshabilitar el API REST de WordPress?

EL API es útil para algunos programadores o algunas herramientas concretas para manejar WordPress ya que hace sencillo obtener información haciendo peticiones web en un formato (JSON) que entienden mejor los programas.

Probar el funcionamiento del API es sencillo. Puedes usar tu navegador para ver toda la información que muestra. En la barra de direcciones añade /wp-json al nombre de tu dominio. Como hago en este ejemplo:

Como ves, el API muestra mucha información. El problema es que cualquiera puede usarla para obtener fácilmente información de tu sitio.

Por ejemplo, puedes obtener un listado de los usuarios de tu sitio añadiendo /wp-json/wp/v2/users al nombre de tu dominio.

O incluso alguien malintencionado pueden aprovechar el API para lanzar un ataque de denegación de servicio haciendo muchas llamadas sobre este.

Si no utilizas el API REST de modo alguno te recomiendo desactivarlo para ganar en seguridad.

Cómo deshabilitar el API de WordPress

Para deshabilitar el API vamos a utilizar el plugin Disable Rest API. Así que lo primero que vamos a hacer es instalarlo. Si es el primer plugin que instalas sigue este vídeo tutorial dónde te explico cómo instalar un plugin de WordPress.

El funcionamiento del plugin es muy sencillo, no necesitas hacer ninguna configuración, tras instalarlo y activarlo las peticiones al API serán rechazadas excepto las tuyas propias o de usuarios que están logueados en WordPress.

Además, es compatible con cualquier versión de WordPress.

Sólo nos falta comprobar que funciona. Cierra la sesión de WordPress y navega a la dirección del API.

Ahora, puedes ver que las peticiones no autorizadas son bloqueadas con un mensaje que indica que no estás autorizado.

NOTA Ten en cuenta que algunos plugin necesitan el API de WordPress para funcionar correctamente, como el Contact Form. Tras bloquear el API comprueba que todo funciona como antes.

¡Espero que te sirva de gran ayuda!

Mabel.


Creative Commons License

Esta obra está bajo una licencia de Creative
Commons Reconocimiento-NoComercial-CompartirIgual
4.0 Internacional
.