Sla over naar inhoud
Vectel
Support/Web en CMS

WP REST-API staat open, hoe beperken we wat lekken kan.

Default lekt /wp-json/wp/v2/users de gebruikersnamen, en /posts staat zonder auth open. Dat valt te beperken zonder API helemaal uit te zetten.

Probeer dit eerst zelf

  1. 1Disable users-endpoint voor non-auth: voeg een filter toe op rest_endpoints dat /users alleen voor ingelogde users beschikbaar maakt.
  2. 2Plugins als WPS Hide Login en Disable WP REST API doen dit met een toggle. Voor minder configuratiewerk dan zelf code schrijven.
  3. 3Audit welke plugins de REST-API gebruiken (Yoast, WP Block Editor, contact-form-builders). Niet alles uitzetten, alleen wat onnodig open staat.
  4. 4Application Passwords: standaard sinds 5.6, prima voor controlled API-access. Roteer ze, gebruik ze voor specifieke integraties.
  5. 5Rate-limit /wp-json via Cloudflare WAF of een security-plugin. Bots scannen REST routinematig.
  6. 6Log unusual REST-traffic. Plugins als WP Activity Log of Wordfence loggen API-toegang; spike wijst op een onderzoek vanuit buiten.

Wanneer ons inschakelen

Bouw je een echte REST-API-driven app op WP, dan is custom auth (JWT, OAuth) en endpoint-permissioning nodig. Een ervaren WP-dev voorkomt dat je lekken creeert in de naam van flexibiliteit.

Zie ook

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.

Wie ben je?

Voor de AI-vraag hebben we je e-mailadres en bedrijfsnaam nodig, zo kunnen we opvolgen als de AI er niet uitkomt, en voorkomt het misbruik van de tool.

Maximaal 2 vragen per uur en 5 per dag, bewust beperkt zodat de AI snel en goed blijft. Voor meer help je jezelf en ons door direct contact op te nemen.

Of doe het helemaal niet zelf

Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.

Schakel ons inHoe Managed IT werkt