L'API REST intégrée à WordPress facilite l'interaction à distance avec votre site, notamment pour les applications mobiles, les thèmes et extensions. Cependant, cette accessibilité peut constituer un risque si elle est mal sécurisée. Découvrez les bonnes pratiques pour protéger votre API REST sans compromettre l'utilisabilité de votre site.
1 Qu’est-ce que l’API REST de WordPress et pourquoi la sécuriser ?
L’API REST (Representational State Transfer) est un protocole qui permet à des applications externes d’interagir avec votre site WordPress via des requêtes HTTP standard. Cette interface est utilisée pour récupérer des contenus, créer des articles, modifier des données, voire gérer les utilisateurs, selon les droits accordés.
Mal sécurisée, l’API REST peut devenir une porte d’entrée pour des attaques telles que l’injection de contenu malveillant, la fuite d’informations sensibles, ou des actions non autorisées. Protéger cette interface est donc crucial.
2 Limiter l’exposition des données publiques
Par défaut, l’API REST de WordPress expose certaines données publiques de votre site (articles, pages, commentaires…). Bien que cela soit utile pour des applications front-end ou mobiles, il est important de contrôler les informations accessibles :
- Restreindre les endpoints non nécessaires : Si certaines API ne sont pas utilisées, désactivez-les pour réduire la surface d’attaque.
- Masquer les données sensibles : Certains champs renvoyés par l’API (comme les métadonnées ou les identifiants internes) peuvent être inutiles à l’usage et doivent être filtrés.
- Mettre en place un contrôle d’accès via des filtres pour limiter les données selon le contexte ou le rôle de l’utilisateur.
3 Restreindre l’accès à l’API aux utilisateurs authentifiés
Pour les actions sensibles (modifications, créations, suppressions), il est indispensable que l’API REST n’autorise que les utilisateurs correctement authentifiés avec des permissions suffisantes :
- Exiger une authentification via des tokens, cookies ou clefs d’API. Cette étape garantit que seul un utilisateur légitime agit sur votre site.
- Vérifier les capacités dans vos appels d’API pour s’assurer que l’utilisateur a bien les droits nécessaires (par exemple, un rédacteur ne devrait pas pouvoir supprimer un administrateur).
- Désactiver les méthodes HTTP non utilisées (comme DELETE ou PUT) si vous ne les employez pas.
4 Protéger contre les attaques courantes ciblant l’API REST
Voici quelques mesures simples à mettre en œuvre pour renforcer la sécurité :
- Utiliser un pare-feu d’application web (WAF) pour détecter et bloquer les requêtes suspectes.
- Limiter les tentatives d’accès pour prévenir les attaques par force brute sur les points d’authentification.
- Activer la journalisation des appels à l’API afin de repérer rapidement une activité anormale.
- Mettre régulièrement à jour WordPress et ses extensions pour bénéficier des correctifs de sécurité.
5 Comment désactiver ou restreindre l’API REST quand elle n’est pas nécessaire ?
Si votre site n’a pas besoin de l’API REST, ou seulement d’une partie, vous pouvez la désactiver partiellement ou totalement :
- Ajouter des filtres dans le fichier
functions.phpde votre thème ou dans un plugin spécifique :
// Désactiver l'API REST pour tous les utilisateurs non connectés
add_filter('rest_authentication_errors', function($result) {
if (!empty($result)) { return $result; }
if (!is_user_logged_in()) {
return new WP_Error('rest_cannot_access', 'Accès API REST refusé.', array('status' => 401));
}
return $result;
});
- Ce code bloque l’accès à l’API REST pour les utilisateurs non connectés, un compromis fréquent pour protéger un site public.
- Pour une désactivation complète, vous pouvez utiliser une extension dédiée ou ajouter des règles serveur qui bloquent l’accès aux URLs commençant par
/wp-json/.
6 Conclusion
L’API REST de WordPress est un outil puissant, mais ses avantages impliquent aussi des responsabilités en matière de sécurité. Adapter les contrôles d’accès, limiter les données exposées et surveiller l’activité sont des étapes indispensables pour protéger votre site contre les attaques tout en conservant ses fonctionnalités modernes. Pensez toujours à tester vos modifications dans un environnement sécurisé avant de les déployer en production.

Par Thibaut Pietri
Derniers articles
Sécuriser les API web PHP : bonnes pratiques pour éviter les failles courantes
14 juillet 2026 Les API web dominent les échanges d'informations entre applications, mais elles sont aussi une cible privilégiée des attaquants. Cet article détaille comment sécuriser efficacement vos API PHP pour éviter les vulnérabilités fréquentes.
SEO vs GEO : pourquoi le trafic des moteurs IA ne ressemble pas au trafic Google
29 mai 2026 Le SEO reste indispensable pour générer du trafic depuis Google. Mais avec l’arrivée des moteurs IA comme ChatGPT, Gemini, Perplexity ou Copilot, une nouvelle logique apparaît : le GEO.
Audit GEO : 10 points pour savoir si votre site est prêt pour les moteurs IA
22 mai 2026 Le GEO, ou Generative Engine Optimization, consiste à optimiser un site pour qu’il soit mieux compris, cité et recommandé par les moteurs de recherche IA comme ChatGPT, Gemini, Perplexity ou les nouvelles réponses générées de Google. Mais votre site est-il vraiment prêt ? Voici une checklist en 10 points essentiels pour réaliser un premier audit GEO.