--- title: "Como corrigir API REST do WordPress exposta" url: https://full.services/wp-fixer/corrigir-api-rest-exposta-wordpress/ date: 2026-06-13 author: "Clayton Margiotti" --- # Como corrigir API REST do WordPress exposta ## O que é a API REST exposta no WordPress? A API REST do WordPress é a interface em /wp-json/ que o editor de blocos, plugins e apps usam para ler e gravar dados. O problema de segurança não é a API existir, e sim ela expor informação sensível sem autenticação. A rota /wp-json/wp/v2/users lista os nomes de usuário (logins) de quem já publicou no site, e /wp-json/wp/v2/ revela quais plugins registram endpoints. Com os logins em mãos, o atacante só precisa quebrar a senha por força bruta. A correção certa é restringir as rotas que vazam dados, mantendo o resto da REST API funcionando, e não bloquear tudo, o que quebraria o editor e vários plugins. ## Como identificar - Abrir "seudominio.com/wp-json/wp/v2/users" no navegador retorna um JSON com os nomes de usuário do site. - O scanner de segurança aponta "User Enumeration via REST API" ou "REST API users endpoint exposed". - No log, requisições repetidas a /wp-json/wp/v2/users coincidem com picos de tentativas de login. - A rota "/wp-json/" lista publicamente todos os namespaces de plugins instalados no site. **Antes de começar:** Não desative a REST API inteira para resolver isso. O editor de blocos, vários plugins e o app oficial dependem dela; bloquear tudo quebra o painel e funções do site. Restrinja apenas as rotas que vazam dados e teste o editor após aplicar. ## Como prevenir - Mantenha a rota /wp/v2/users restrita a usuários autenticados e bloqueie /?author=N para anônimos - Declare permission_callback em todo endpoint REST customizado de plugins próprios - Use um WAF que limite requisições anônimas às rotas sensíveis e detecte enumeração de usuários ## Erros relacionados - [Como desativar o XML-RPC com segurança](https://full.services/wp-fixer/desativar-xmlrpc-wordpress/) - [Como proteger contra ataques de forca bruta no login](https://full.services/wp-fixer/proteger-forca-bruta-login-wordpress/) - [Como corrigir vulnerabilidade XSS no WordPress](https://full.services/wp-fixer/corrigir-vulnerabilidade-xss-wordpress/)