Retour au blog
WordPresstechniquevulnérabilités

WordPress REST API : les 7 endpoints dangereux activés par défaut

Publié le 2026-04-036 min de lectureCleanIssue

> En bref : Votre WordPress expose des données sensibles via la REST API sans que vous le sachiez. Voici les 7 endpoints à vérifier immédiatement.

WordPress expose plus que vous ne le pensez

Par défaut, WordPress active une API REST complète accessible à tout visiteur. Combinée avec des plugins comme ACF, cette API peut exposer des données qui ne sont pas sur votre site public.

Endpoint 1 : /wp-json/wp/v2/users

Liste tous les utilisateurs avec leurs noms, slugs, et parfois emails. Première étape d'une attaque par force brute.

Endpoint 2 : /wp-json/acf/v3/options

Si ACF Pro est installé, cet endpoint peut retourner TOUTES les options du site : y compris les clés API, tokens, et configurations sensibles stockées dans les champs ACF.

Endpoint 3 : /wp-json/wp/v2/media

Énumération de tous les fichiers uploadés. IDs séquentiels = possibilité de télécharger des fichiers privés par incrémentation.

Endpoint 4-7 : Namespaces custom

Chaque plugin qui enregistre un namespace REST crée potentiellement des endpoints non authentifiés. Nous trouvons régulièrement : endpoints de tracking injectables, endpoints d'IA spawning des jobs sans auth, endpoints de configuration exposant des secrets.

Comment vérifier

Accédez à votre-site.com/wp-json/ : si vous voyez une liste de routes, votre API est publique. Contactez-nous pour un revue externe.

À retenir

  • Authentifiez chaque endpoint API — les routes internes exposées publiquement sont la faille #1.
  • Implémentez un rate limiting par tenant pour éviter l'énumération et le scraping.
  • Documentez et versionnez vos API pour détecter les endpoints orphelins non protégés.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit