CF7 bei deaktivierter REST-API

Imho ist Euer Denkansatz falsch. Die REST API ist nun wesentlicher Bestandteil (Core) von WordPress und Matt Mullenweg selbst war es, der die Entwickler (Plugins/Themes) dazu angeregt (um nicht zu sagen aufgefordert) hat, die REST API zu nutzen. Ob es klug ist ein Plugin ausschließlich auf die REST API zu stützen sei dahin gestellt und ist dem Entwickler überlassen. Das ändert in keinem Fall etwas daran, dass eine Deaktivierung der API ebenso wie (früher) der XML-RPC Schnittstelle zu Verlusten in der Funktionalität von WordPress führt.

Die Frage ist warum will man die REST-API still legen? Dann kann man überlegen ob es Alternativen zum Erreichen des Ziels gibt. Ich war noch nie ein Freund von CF7, würde aber per se nicht so weit gehen CF7 ob der REST-API Thematik an den Pranger zu stellen. Mit Ninja Forms oder Formidable stehen hervorragende Plugins zur Verfügung, suchen muss man also nicht wirklich.

 

Vielen gefällt die Ausgabe der Benutzernamen über die REST-API via /wp-json/wp/v2/users nicht so sehr. Das wird dann oft (wie auch auf Deinem Website?) durch ein generelles Abschalten der REST-API "behoben",

Das führt dann wiederum (u.a.) zu den aktuellen Effekten mit CF7 oder anderen Plugins mit REST-API Endpoints, wobei natürlich auch das magelhafte Error-Handling bei CF7 zu Unsicherheiten bzgl. der Ursache beiträgt, da sich zig. Probleme einfach nur durch "Sende-Icon dreht sich endlos" zeigen, anstelle im Client-JavaScript die HTTP-Header Codes der Antwort sauber auszuwerten und entsp. zu reagieren.

Falls es Mitlesern nicht bekannt sein sollte: Seit einiger Zeit können auch diverse "Sicherheits"-Plugins wie WordFence, iThemes o.ä. nur diese Ausgabe der Benutzer deaktivieren und den Rest aktiv lassen, mehr dazu z.B. hier.

 

Die alte Diskussion, ob WordPress Matt Mullenweg/Automattic oder ein Community-Projekt ist. Wenn Matt Mullenweg es angeregt hat, sollte das auch zum Denken anregen.

 

Danke für den Link. Das war mir nicht bekannt. Nur fragt sich, wie lange so etwas dann auch zur Standard-Version beispielsweise von WordFence gehört. Ein Grund das Plugin zu verwenden, war beispielsweise das Caching, das plötzlich nicht mehr unterstützt worden ist.

 

Vgl. dazu auch.

https://wordpress.org/support/topic/restrict-plug-in-use-of-rest-api

 

REST APIs gehören heute zu jeder vernünftigen Applikation. WordPress macht da keine Ausnahme. Niemand behauptet die REST API wäre ausgereift und gerade das Thema Authentifizierung wird immer wieder heiß diskutiert. Jeder ist im Übrigen herzlich eingeladen im Slack in den jeweiligen Kanälen mit zu diskutieren. Auch ich bin ein Vertreter der Position, dass anonyme Anfragen an die API explizit frei gegeben werden sollten, mit Ausnahme der Anfragen die zum gleichen Ergebnis führen wie ein Webseitenaufruf. D.h. Posts und Pages soll man anonym erreichen können.

In der Zwischenzeit gibt es zahlreiche Filter die man verwenden kann. Das Entfernen von Endpunkten, wie oben dargestellt, ist eine Möglichkeit. Allerdings steht der Endpunkt dann auch nicht mehr für Anwendungen zur Verfügung. Besser ist das gezielte Filtern der Anfragen mit eigenen Bedingungen, wie z.B.

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Das Bedingungswerk kann man dann beliebig erweitern. Man kann auch nur Anfragen zulassen die bestimmte Parameter enthalten oder von bestimmten Hosts kommen.

 

Bei einem Filter wie diesem sollte man wissen, dass die $route nicht case-sensitive ist, d.h. der in #29 gepostete Filter lässt sich durch z.B. ein grosses U in users o.ä. umgehen.

/wp-json/wp/v2/users -> forbidden

/wp-json/wp/v2/Users -> Benutzerliste

 

Korrekt! Deswegen muss natürlich ein Sanitizing statt finden, ebenso wie die Erweiterung um zusätzliche Endpoints.

 

Das wäre dann auch ein klares Statement, das etwa so lauten müsste: Leute, lasst die Finger von WordPress für DIY-Websites!

Kann man so sehen. Denn ich vermute, dass ein Grossteil der User dieses Forums nicht wissen, was die REST API oder Slack ist.

 

Man könnte auch sagen "Leute hört auf zu atmen" weil die Luft voller Stickoxyde ist und die Mehrheit keine Ahnung hat was das bedeutet. Natürlich macht es nur für Fachkundige Sinn an der Diskussion teilzunehmen. Sie besitzen die notwendigen Kenntnisse und Werkzeuge. Die Teilnehmer in diesem Thread scheinen alle Fachkundig zu sein. Also weniger Polemik und mehr konstruktive Vorschläge.

 

Ein interessanter Hinweis für einfache Rollbacks:

https://wordpress.org/support/topic/contact-form-7-rest-api/#post-9427334

P. S. Was haben Sicherheitsprobleme mit Polemik zu tun? Die Frage war, ob sich WordPress noch für DIY-Websites eignet. Im Gegensatz zur Luftverschmutzung kann ein "verseuchtes" System gegen ein anderes ausgetauscht werden.

 

Gar nichts. Es geht um Deine polemische Aussage, die sich nicht auf ein Sicherheitsproblem bezieht. Es geht hier rein um den Wunsch etwas nicht abrufen zu lassen, was standardmäßig abrufbar ist und schon immer war - auch vor der API.

 

Also, alles Deppen, die in diesem Thread diskutieren... Muss so sein, war immer schon so, und überhaupt Matt Mullenweg will es so.

Was die REST API mit einem Formular zu tun hat, kann/will allerdings nicht einmal der Entwickler des Plugins erklären.

Für mich ist klar: Contact Form 7 wird nicht mehr verwendet.

 

Q.E.D wieder Polemik. Nur weil Du etwas nicht verstehst, bedeutet das nicht, dass es schlecht ist. Und Du musst es auch gar nicht verstehen. Die REST API erweitert die Möglichkeiten der Interaktion mit WordPress für Entwickler. Es geht eben schneller direkt mit z.B. React oder VueJS auf Informationen zurückzugreifen als mittels jQuery und PHP (AJAX). Wenn Du Dich für die Entwicklung interessiert empfehle ich die Seite von Paul Underwood. Ansonsten empfehle ich Dieter Nuhr.

 

Für alle, die sich noch inhaltlich für das Thema interessieren, hier ein ganz neues Plugin:

https://wordpress.org/plugins/jailbreak-disable-json-api/

 

Ich freu mich auf die vielen Hilferufe der Anwender. 85% der installierten WordPress Seiten nutzen derzeit kein PHP 7.