API REST exposta no WordPress: como proteger

Tipo Seguranca

Nome do erro Como corrigir API REST do WordPress exposta

Severidade Grave

Descrição A API REST exposta no WordPress é o problema de a rota /wp-json/wp/v2/users listar publicamente os nomes de usuário do site, entregando ao invasor metade do par login-senha. Corrigir significa restringir esse endpoint e os dados sensíveis sem desligar a REST API, que muitos recursos do site usam.

Conteúdo exclusivo para membros Pro

Faça upgrade para acessar este item completo.

// ★ Conteúdo disponível para membros Pro...
// Faça upgrade para acessar este item.

Perguntas frequentes

Posso simplesmente desativar a REST API inteira do WordPress?

Não é recomendado. O editor de blocos, o app oficial e muitos plugins dependem da REST API para funcionar. Desligar tudo quebra o painel e recursos do site. O certo é restringir só as rotas que vazam dados, como /wp/v2/users, mantendo o resto ativo.

Por que a rota /wp-json/wp/v2/users é um risco?

Ela lista publicamente os nomes de usuário (logins) de quem publicou no site. Com o login em mãos, o atacante já tem metade do par login-senha e só precisa quebrar a senha por força bruta. Restringir essa rota tira do invasor essa informação de partida.

Bloquear /users na REST resolve a enumeração de usuários?

Resolve a via REST, mas não a via /?author=N, que também revela o slug do login pela URL do autor. Por isso a correção completa bloqueia as duas: a rota /wp/v2/users e o acesso anônimo a /?author=N. Cobrir só uma deixa a outra aberta.

Como sei se a API REST do meu site está exposta?

Abra seudominio.com/wp-json/wp/v2/users no navegador. Se aparecer um JSON com a lista de usuários, a enumeração está aberta. Um scanner de segurança também sinaliza "User Enumeration via REST API" quando detecta essa exposição.

Restringir a REST API quebra o editor de blocos?

Não, se você restringir só as rotas sensíveis. O editor usa outras rotas da REST (posts, mídia, blocos) que continuam funcionando. Remover apenas /wp/v2/users do acesso anônimo não afeta o editor; só teste após aplicar para confirmar.

Endpoints de plugins também podem vazar dados pela REST?

Sim. Um endpoint customizado sem permission_callback retorna dados a qualquer um, sem checar permissão. É um vetor comum de vazamento. Revise os plugins próprios para garantir que toda rota registrada valide a permissão antes de responder.

Pro Grave

Como corrigir o bloqueio de AJAX entre All in One Security e JetEngine

O bloqueio de AJAX entre AIOS e JetEngine ocorre quando uma regra avancada do firewall do All in One Security inspeciona o POST para admin-ajax.php e devolve 403, fazendo os componentes dinamicos do JetEngine pararem de carregar. A causa quase sempre e a regra 6G de query string ou o filtro de string avancado.

Pro Crítico

Como limpar o Japanese Keyword Hack no WordPress

O Japanese Keyword Hack e uma infecao de SEO spam que cria milhares de paginas em japones no seu site WordPress e as injeta nos resultados do Google. Elas vendem produtos falsificados e usam a autoridade do seu dominio para ranquear.

Pro Crítico

Como corrigir o wp-config.php exposto no WordPress

O wp-config exposto é uma falha grave em que o arquivo de configuração do WordPress fica legível pela web, revelando a senha do banco e as chaves de autenticação. Ocorre quando o servidor entrega o conteúdo em texto, em vez de processá-lo como PHP, ou quando um backup do arquivo fica acessível por URL.

Pro Crítico

Como corrigir vulnerabilidade de plugin no WordPress atualizando com segurança

Uma vulnerabilidade de plugin no WordPress é uma falha de segurança conhecida (catalogada como CVE) numa versão específica do plugin. A correção real é atualizar para a versão que aplica o patch, depois de fazer backup e validar em ambiente de teste para não quebrar o site.

Pro Grave

Como corrigir o bloqueio do sitemap entre All in One Security e Rank Math

O bloqueio do sitemap AIOS Rank Math acontece quando uma regra de firewall do All in One Security devolve 403 Forbidden ao acessar o sitemap_index.xml gerado pelo Rank Math. As regras avancadas de filtro de query string e de metodos do AIOS interpretam a URL do sitemap como tráfego suspeito e o Google passa a receber 'Couldn't fetch'.

Pro Crítico

Como corrigir site WordPress na lista negra do Google

Um site WordPress na lista negra do Google é um site que a Navegação Segura (Safe Browsing) sinalizou como perigoso por conter malware ou conteúdo enganoso. O Chrome e a busca passam a exibir um aviso vermelho que afasta os visitantes, e só sair da lista exige limpar a infecção e pedir reanálise no Search Console.

Setores

Extensões

Integrações

Como corrigir API REST do WordPress exposta

Conteúdo exclusivo para membros Pro

Perguntas frequentes

Itens relacionados

Como corrigir o bloqueio de AJAX entre All in One Security e JetEngine

Como limpar o Japanese Keyword Hack no WordPress

Como corrigir o wp-config.php exposto no WordPress

Como corrigir vulnerabilidade de plugin no WordPress atualizando com segurança

Como corrigir o bloqueio do sitemap entre All in One Security e Rank Math

Como corrigir site WordPress na lista negra do Google

Setores

Extensões

Integrações

Extensões

Hero Sections

Seções de CTA

Login

Blog

Cabeçalhos

Seções de FAQ

Cadastro

Blog individual

Rodapés

Seções de contato

Seções de preços

Faixas

Portfólio

Seções de equipe

Números

Logotipos