Cómo Deshabilitar REST API en WordPress

Cómo deshabilitar REST API en WordPress

Sin lugar a duda, WordPress REST API es un valor añadido magnífico que potencia enórmemente las capacidades ya indiscutibles de WordPress como gestor de contenido que combina flexibilidad de uso para los usuarios, junto con la complejidad necesaria para los desarrolladores. Sin embargo, algunas personas creen que no necesitan esta API, por eso, hoy te explicaremos cómo deshabilitar REST API en WordPress.

¿Necesitas Deshabilitar REST API?

Muchos de los desarrolladores de WordPress están encantados con el gran aporte de la REST API de WordPress, con respecto a las posibilidades que les brinda para facilitar el trabajo, sobre todo, cuando hablamos de la manipulación de la información.

Esta API ofrece un modelo para solicitar datos de la base de datos bastante sólido en objetos JSON mediante un cliente Javascript. Sin embargo, en algunos escenarios el administrador puede considerar que no es necesaria.

Es prácticamente como el caso de la API de XML-RPC, que viene de forma predeterminada con WordPress. Algunos proveedores de servicios de hospedaje deshabilitan XML-RPC en sus servidores, para mejorar la seguridad de los sitios web de sus clientes.

La REST API de WordPress, a su vez, puede ser utilizada cuando hay alguna vulnerabilidad, para ejecutar ataques DDoS. En un caso anterior, donde fue explotada una vulnerabilidad en miles de sitios web.

Cómo Deshabilitar REST API

Después de lo que hemos dicho en la primera parte, es posible que consideres deshabilitar REST API, si no la utilizas para aplicaciones que interactúan con tu sitio de WordPress.

Hay dos formas que recomendamos utilizar aquí cuando deseas deshabilitar REST API en tu sitio web. La primera es con plugin, y la segunda es mediante código que inyectas en el ecosistema de WordPress.

Deshabilitar REST API con Plugin

Un plugin destacado en este sentido es Disable REST API, que puedes descargar del repositorio oficial, o directamente instalarlo desde tu gestor de plugins. Si es la primera vez que pretendes usar plugin en WordPress, te invitamos a ver cómo instalar un plugin paso a paso.

Después de activar el plugin, no necesitas hacer nada más, ya que todo el trabajo se lleva a cabo en un segundo plano, y no hay página de configuración ni nada por el estilo.

Lo que hace el plugin Disable REST API es devolver un error de autenticación a cualquier solicitud de API de fuentes que no hayan iniciado sesión en su sitio web, o sea que no seas tú (el administrador).

Por tanto, esto evitará que las solicitudes no autorizadas utilicen la API REST para obtener información de tu sitio web.

Para que te asegures de que el plugin está haciendo bien su trabajo, abres una nueva ventana en Chrome, o una ventana en modo Incógnito, para acceder a esta ruta en tu sitio web, sin iniciar sesión por supuesto.

http://example.com/wp-json/

Si utilizas el formato simple de los enlaces permanentes, entonces debes acceder a la siguiente ruta, sin iniciar sesión.

http://example.com/?rest_route=/

Ahí aparecerá una página blanca con un mensaje de error en inglés, que dice  “Only authenticated users can access the REST API“, que significa que, solamente los usuarios autenticados pueden acceder la REST API de WordPress.

Deshabilitar REST API con código

Antes de realizar cualquier cambio, te recomendamos crear un backup completo de tu sitio web junto con la base de datos, para proteger el contenido de tu sitio web en un lugar seguro.

Primero debes acceder a los archivos de tu instalación, mediante un programa FTP de transferencia de archivos, y en la carpeta de tu tema actual, encontrar el archivo functions.php.

add_filter('json_enabled', '__return_false');
add_filter('json_jsonp_enabled', '__return_false');

Pega estas dos líneas de código en la parte inferior del archivo, guardas los cambios y vuelves a subir el archivo a su ubicación original.

Puedes también realizar esta tarea, utilizando un plugin personalizado de tu sitio web, donde sólo insertas código que viene en pedazos o snippets.

De esta forma terminas de deshabilitar REST API de WordPress, lo que te ayuda a trabajar en un entorno un poco más cerrado, con algo de seguridad extra, en caso de que se presente alguna vulnerabilidad en esta API.

Esto es todo, te invitamos a darle me gusta nuestra WPBody en Facebook, y seguirnos por Twitter, para obtener el contenido exclusivo de tutoriales sobre seguridad, optimización y noticias de WordPress.

DEJAR COMENTARIO

Favor escribir tu comentario!
Favor ingresar tu nombre aquí